onderdeel van

Logo Performance Collective

Alles over de NIS2 richtlijn

De NIS2-richtlijn is een verordening die EU-brede regels bevat om een hoog niveau van cyberbeveiliging te waarborgen. De richtlijn richt zich op specifieke kritieke sectoren.

Marcel van Langen

De NIS2-richtlijn bouwt voort op de vorige NIS1-richtlijn (Richtlijn (EU) 2016/1148) en heeft tot doel de veerkracht van de EU op het gebied van cyberbeveiliging te vergroten door de vereisten voor nationale autoriteiten en exploitanten van kritieke infrastructuur te versterken om cyberbeveiligingsincidenten te voorkomen, op te sporen en erop te reageren.

De voorloper (NIS1) is al in 2016 gepubliceerd. De nieuwe NIS2 heeft een veel breder toepassingsgebied. De richtlijn is van toepassing op exploitanten van essentiële diensten (OES) in sectoren zoals energie, transport, bankieren, gezondheidszorg en digitale infrastructuur, evenals aanbieders van digitale diensten (DSP's) zoals online marktplaatsen, cloudcomputingdiensten en zoekmachines. Veel breder dus dat de scope van NIS1 die zich beperkte tot essentiële aanbieders op het gebied van stroom, water etc.

Deze OES en DSP's zijn verplicht om passende en evenredige beveiligingsmaatregelen te nemen om de risico's voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Daaronder valt ook het melden van significante incidenten aan de nationale autoriteiten. De nationale autoriteiten zijn verantwoordelijk voor het toezicht op de naleving van de richtlijn, het uitwisselen van informatie met andere lidstaten en het zorgen voor een gecoördineerde reactie op grensoverschrijdende incidenten.

Consequenties

Wanneer de richtlijn is omgezet naar nationale wetgeving, gaat deze richtlijn in de praktijk het nodige betekenen voor bedrijven. Deze omzetting komt eraan. Organisaties kunnen zich dan ook maar beter alvast gaan voorbereiden op de verwachte consequenties, waaronder:

  • Verplichte beveiligingsmaatregelen: organisaties moeten passende en evenredige beveiligingsmaatregelen nemen om de risico's voor hun netwerk en informatiesystemen te beheren en de continuïteit van hun dienstverlening te waarborgen.
  • Incidentdetectie en melding: organisaties moeten in staat zijn om cyberincidenten te detecteren, en deze binnen een bepaalde termijn bij de nationale autoriteiten te melden.
  • Incidentrespons: organisaties moeten over procedures beschikken om snel en doeltreffend te reageren op cybersecurity-incidenten.
  • Risicobeoordeling en beheer: organisaties moeten regelmatig risicobeoordelingen uitvoeren en passende risicobeheersmaatregelen nemen.
  • Samenwerking met nationale autoriteiten: organisatiesmoeten samenwerken met de nationale autoriteiten op het gebied van cybersecurity en informatie delen over cybersecurity-incidenten.
  • Toezicht en handhaving: Nationale autoriteiten moeten toezicht houden op de naleving van de NIS2-richtlijn door organisaties, en waar nodig handhavingsmaatregelen nemen.

Het is belangrijk om op te merken dat de NIS2-richtlijn geen specifieke technische maatregelen of oplossingen voorschrijft, maar bedrijven in plaats daarvan verantwoordelijkheid en flexibiliteit biedt om passende beveiligingsmaatregelen te nemen op basis van hun eigen risicoanalyse.

Wist je dat er bij Performity verschillende specialisten werkzaam zijn op het gebied van NIS2 en wat dit voor jouw organisatie gaat betekenen? Zoek je ondersteuning of advies, aarzel dan niet om contact met ons op te nemen. Wij helpen je graag verder!
cyberbeveiliging EU kritische infrastructuur nationale autoriteiten netwerk- en informatiesystemen digitale dienstverleners incidenten meldingen risicomanagement bedreigingen respons weerstand penetratietest kwetsbaarheid beoordeling bedrijfsrisico eisen CISO informatiedeling samenwerking coordinatie toeleveringsketen bescherming maatregelen bestuur naleving