NIS2: Wat houdt de nieuwe Europese richtlijn in?

Meer regels, Breder Bereik

NIS2 (PDF) is een uitbreiding van de eerdere NIS-richtlijn die sinds 2016 in het leven werd geroepen door de Europese instellingen.  Het richt zich op het creëren van een brede bewustwording van cyberveiligheid om zo overheden en bedrijven zich vandaag en morgen beter te kunnen weren tegen de steeds de complexer wordende cyberdreigingen.

De nieuwe richtlijn brengt ook onderaannemers en dienstverleners (die toegang hebben tot jouw kritieke infrastructuur) onder de paraplu van de regelgeving. Ook zij dienen voortaan aan strengere cyberbeveiligingsplichten te voldoen als ze met jouw organisatie willen samenwerken. Deze groep werd namelijk over het hoofd gezien in de eerste versie van de richtlijn.

Belangrijke Verschillen tussen NIS1 en NIS2

De NIS1-richtlijn stelde reeds strenge eisen aan ‘essentiële bedrijven’ zoals water-, energie- en telecombedrijven. De NIS2 gaat een stap verder en is van toepassing op meer organisaties, inclusief tal van middelgrote en grote bedrijven.

Een belangrijk kenmerk van NIS2 is de meer concrete aanpak, dankzij een lijst van minimale basisbeveiligingen die bedrijven moeten implementeren:

1. Risicoanalyse en informatiebeveiligingsbeleid
2. Incidentafhandeling (preventie, detectie en reactie op incidenten)
3. Bedrijfscontinuïteit en crisisbeheer
4. Beveiliging van de toeleveringsketen
5. Beveiliging in netwerk- en informatiesystemen
6. Beleid en procedures voor maatregelen voor cyberbeveiligingsrisicobeheer
7. Het gebruik van cryptografie/versleuteling

Ook stelt het nationale autoriteiten in staat om hierop strenger toezicht te houden én te handhaven.

Hoe bereid je je voor op NIS2 en potentiële sancties?

NIS2 eist van organisaties dat ze adequate maatregelen nemen op gebieden zoals cyberrisicobeheer, penetratietesten, incident response en herstel. Je organisatie dient dus alle risico’s in kaart te brengen en zich nog beter te wapenen tegen bedreigingen. Je zal ook je team bewust moeten maken van de juridische verplichtingen om boetes te vermijden.

Middels controlemomenten of audits door toezichthouders zal er streng worden gecontroleerd of het niveau van je beveiliging conform de regelgeving is. Het niet goed implementeren van bepaalde beveiligingsmaatregelen zal dan ook grote gevolgen hebben; niet alleen loop je extra risico op hacks, maar -net als bij GDPR-inbreuken- worden financiële sancties gebaseerd op de wereldwijde omzet van je organisatie.

Het is belangrijk om te begrijpen hoe deze nieuwe regelgeving van invloed kan zijn op uw organisatie en om de nodige stappen te nemen om aan de NIS2-richtlijn te voldoen. Cyberbeveiliging is geen keuze meer, het is een must. Heb je hier graag ondersteuning in? Reken gerust op onze gecertifieerde experten om je bij te staan en/of om een grondige Security Audit uit te voeren: