Op 16 januari 2023 is de NIS2-richtlijn in werking getreden. Van de EU-lidstaten wordt verwacht dat ze de nodige voorschriften invoeren en publiceren om uiterlijk op 17 oktober 2024 aan de richtlijn te voldoen.
De Network and Information Security (NIS)-richtlijn was een initiatief van de EU om een gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten te bereiken. Hoewel het de mogelijkheden voor cyberbeveiliging vergrootte, bleek de implementatie een uitdaging, wat leidde tot fragmentatie op de markt. Om het toenemende gevaar van digitalisering en cyberaanvallen aan te pakken, stelde de Commissie voor om de NIS-richtlijn te vervangen door NIS2, dat de beveiligingseisen aanscherpt, de beveiliging van de supply chain aanpakt, de rapportage stroomlijnt en strengere toezichts- en handhavingsmaatregelen introduceert, waaronder geharmoniseerde sancties in de hele EU. NIS2 verbreedt de groep instanties die onder de scope vallen en omvat veel organisaties die niet aan de oorspronkelijke NIS-richtlijn hoefden te voldoen.
De nieuwe wetgeving is op 16 januari 2023 van kracht geworden en de lidstaten hebben tot 17 oktober 2024 de tijd om de maatregelen om te zetten in nationale wetgeving. In de EU kunnen 'essentiele' entiteiten boetes krijgen tot 10 miljoen euro, of 2% van hun totale wereldwijde omzet.
Geïmpacteerde sectoren
De bestaande NIS scope zal aanzienlijk worden uitgebreid in de EU, met organisaties in verschillende nieuwe sectoren die als 'essentieel' worden beschouwd. Deze sectoren omvatten ruimtevaart, afvalwater, overheidsdiensten (uitzonderingen zijn mogelijk), aanbieders van datacenterdiensten, aanbieders van trustdiensten, content delivery netwerken en openbare elektronische communicatienetwerken en -diensten. Andere sectoren, zoals postdiensten, chemicaliën en de productie van belangrijke producten, zullen ook aan de vereisten moeten voldoen als 'belangrijke' entiteiten. Zij zullen echter aan minder regelgevend toezicht worden onderworpen dan de als 'essentieel' geclassificeerde instanties.
Wat gebeurt er nu?
Lidstaten hebben tot 17 oktober 2024 de tijd om de juiste maatregelen te nemen om conformiteit met de vereisten van NIS2 te waarborgen. Bedrijven moeten deze tijd gebruiken om te begrijpen welke gevolgen de nieuwe richtlijn voor hen heeft en welke stappen ze moeten nemen om conformiteit aan te tonen.
Het is belangrijk om op te merken dat volgens artikel 24 van de NIS2-richtlijn lidstaten ook de mogelijkheid hebben om certificering van ICT-producten, -diensten en -processen te eisen voor essentiële of belangrijke entiteiten in het kader van Europese cyberbeveiligingsregelingen. Afhankelijk van uw bedrijfscategorie kan certificering volgens specifieke normen zoals ISO 27001 en CSA STAR verplicht worden. Het is daarom van cruciaal belang om te begrijpen hoe elke lidstaat de richtlijn toepast, aangezien er verschillen kunnen zijn tussen verschillende gebieden.
Samenwerken met LRQA
Met ons uitgebreide portfolio van geavanceerde oplossingen voor cyberbeveiliging helpen wij u te voldoen aan de vereisten van NIS2.
We leveren een uitgebreide reeks assessmentdiensten op basis van de wereldwijd toonaangevende normen, waaronder ISO 27001 certificering, aangevuld met een portfolio van geavanceerde cyberbeveiligingsoplossingen die worden geleverd door onze specialisten, LRQA Nettitude. We kunnen uw systemen certificeren, kwetsbaarheden verhelpen en aanvallen en incidenten helpen voorkomen - we ondersteunen uw reis naar conformiteit met NIS2 met diepgaand technisch inzicht en expertise.