NIS2 directive

Vanuit Europa zijn er nieuwe regels inzake cyberbeveiliging van netwerken en informatiesystemen op komst.
Ze worden afgekort tot NIS2. Handhaving NIS2 vindt plaats vanaf 2024.

Wat is de impact op jouw bedrijf van deze zogenaamde richtlijn voor cyberveiligheid ?
En waarom bereid je je best als boardmember nu al voor?

Wat houdt de EU`s NIS Directive in?
In Europa is een NIS (Network and Information Systems) directive opgesteld om bij te dragen aan een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen in de hele EU. Al in 2016 is de NIS1-richtlijn gepubliceerd. Deze was met name bedoeld voor grote bedrijven en instellingen die essentiële functies voor de samenleving vervullen.
Krachtens deze huidige richtlijn, aangenomen in 2016 en omgezet door de EU-lidstaten op 9 mei 2018, kunnen aanbieders van essentiële diensten (bijv. banken, zorgaanbieders en aanbieders van drinkwater en energie) en digitale dienstverleners (bijv. aanbieders van clouddiensten en online marktplaatsen) zijn nu al verplicht om hun digitale beveiliging te verbeteren om cyberincidenten te melden.

Wat verandert er in de NIS2 directive en welke ondernemingen vallen onder de NIS2 directive?

NIS2 breidt de reikwijdte van NIS uit door nieuwe sectoren toe te voegen, zoals telecom, sociale mediaplatforms en openbaar bestuur (entiteiten van centrale en provinciale overheden).
Entiteiten die binnen het toepassingsgebied van de NIS2 vallen, worden in twee categorieën ingedeeld:

1) Exploitanten van essentiële diensten en belangrijke entiteiten. De exploitanten van essentiële diensten, voornamelijk bestaande uit entiteiten die actief zijn in sleutelsectoren (waaronder de zorg-, energie- en transportsector), zullen proactief worden gecontroleerd.
2) De belangrijke entiteiten (waaronder digitale aanbieders, fabrikanten van bepaalde kritieke producten en post- en koeriersdiensten) zullen worden onderworpen aan een reactief toezichtregime, waarbij toezicht wordt geactiveerd door indicaties van een incident. De belangrijke entiteiten betreffen veelal middelgrote en grote entiteiten, waar een eventuele verstoring van de dienstverlening geen ernstige maatschappelijke of economische gevolgen zou hebben.

Verder kent NIS2 de categorie middelgrote entiteiten en verdeelt deze in 2 groepen:
1) Entiteiten met minder dan 250 werknemers en een jaaromzet van niet meer dan 50 miljoen EUR en/of een jaarlijks balanstotaal van niet meer dan 43 miljoen EUR)
2) Entiteiten die actief zijn in de sectoren die onder het NIS2-raamwerk moeten voldoen aan de voorgestelde beveiligingsregels (toeleveranciers)

Wat vereist de NIS2 Directive?
Deze geselecteerde operators zullen per 2024 de benodigde security maatregelen hebben getroffen en zijn verder verplicht alle (cybersecurity) incidenten te rapporteren die een significante impact hebben op de continuïteit van de services die ze bieden. Digitale serviceproviders worden ook verplicht om de autoriteiten te waarschuwen m.b.t. tot incidenten die significant de beschikbaarheid van hun services beperken of zelfs onbeschikbaar maken.

Gartner
Gartner voorspelde al in 2020 dat 75% van de CEO's tegen 2024 persoonlijk aansprakelijk zal zijn voor cyber-fysieke beveiligingsincidenten. Financiële impact van cyber-fysieke systeemaanvallen die resulteren in naar verwachting toenemend aantal doden. Volgens Gartner, Inc. zal de aansprakelijkheid voor cyber-fysieke beveiligingsincidenten tegen 2024 de bedrijfssluier naar persoonlijke aansprakelijkheid voor 75% van de CEO's doorbreken.

Wilt u meer weten hoe wij u kunnen helpen? Neem gerust contact met ons op.
De NIS2 werkgroep Secure Industriële Digitalisering Europe (SIDE) inzake de NIS1 en NIS2 Supply Chain voor uw presentatie aan de board of directors kunt u bereiken op 0657157185