Het doel van de NIS-richtlijnen is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de eisen inzake handhaving van cyberbeveiliging voor kritieke infrastructuursectoren te verhogen. Maar wat betekent dat? Dit artikel vat de kern van de zaak samen.
Wat is NIS?
De afkorting NIS staat voor “Network and Information Systems”. NIS2 is een voortzetting en uitbreiding van de vorige EU-richtlijn inzake cyberbeveiliging, namelijk NIS1 uit 2016.
Het doel van de NIS-richtlijnen is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de eisen inzake handhaving van cyberbeveiliging voor kritieke infrastructuursectoren te verhogen.
Vóór de invoering van de NIS1-richtlijn waren er aanzienlijk verschillen tussen de lidstaten wat betreft de eisen die werden gesteld aan organisaties, de mate van gedetailleerdheid en de wijze van het toezicht hierop. De NIS-richtlijnen werken deze grote verschillen weg en harmoniseren én stroomlijnen het beveiligingsniveau in alle lidstaten.
Hierdoor wordt de NIS1-richtlijn vaak de eerste cybersecurity wetgeving ter wereld genoemd.
NIS2 is de opvolger van NIS1 uit 2016, en treedt in voegen op 17 oktober 2024.
Op welke sectoren is NIS2 van toepassing?
Een vuistregel is dat alle middelgrote of grote bedrijven uit de aangeduide sectoren onder de scope van de NIS2-richtlijn vallen en moeten voldoen aan de opgelegde eisen.
De NIS2 regelgeving splitst bedrijven op in “kritische sectoren” (denk aan post-en koerierdiensten, afvalstoffenbeheer, productie van levensmiddelen, …) en “hoogkritische sectoren” (Denk aan energie, transport, overheden, …).
In functie van in welke categorie je onderneming valt, én haar grootte, legt de NIS2-regelgeving meer of minder strikte normen op waaraan je moet voldoen.
Welke eisen legt NIS2 op uw onderneming?
De NIS2-richtlijn voegt nieuwe eisen toe op vier primaire gebieden van uw bedrijf, namelijk management (1), rapportering aan de autoriteiten (2), risicobeheer (3) en bedrijfscontinuïteit (4).
Het doel is om Europa beter bestand te maken tegen huidige en toekomstige cyberbedreigingen.
1. Management
Het is noodzakelijk dat het management zich bewust is van en inzicht heeft in de vereisten van de NIS2-richtlijn en de inspanningen voor risicobeheer. Ze hebben een directe verantwoordelijkheid om cyberrisico’s aan te pakken en om aan de vereisten te voldoen.
2. Rapporteren aan autoriteiten
Organisaties moeten processen hebben ingesteld om ervoor te zorgen dat er op de juiste manier wordt gerapporteerd aan de autoriteiten. Er zijn bijvoorbeeld eisen dat incidenten binnen 24 uur moeten worden gemeld.
3. Risicobeheer
Om aan de nieuwe eisen te voldoen, moeten organisaties maatregelen implementeren om risico’s en gevolgen te minimaliseren. Dit omvat incidentbeheer, verbeterde beveiliging van de supply chain, netwerkbeveiliging, toegangscontrole en encryptie.
4. Bedrijfscontinuïteit
Organisaties moeten nadenken over hoe ze de bedrijfscontinuïteit kunnen garanderen in het geval van grote cyberincidenten. Dit omvat bijvoorbeeld systeemherstel, noodprocedures en de oprichting van een crisisresponsteam.
Wil je meer weten?
Ligt NIS2 op je bord? Wil je meer informatie over hoe de NIS2-regelgeving dan precies bepaalt in welke categorie jouw onderneming zich bevindt, en wat de 10 minimale maatregelen zijn die je sowieso zult moeten nemen? Wil je weten welke risico’s je loopt indien je niet aan de normen voldoet?
Download dan onze uitgebreide whitepaper of neem contact op voor een gesprek.
