Hoofdstukken 08 In werking: 18 oktober 2024

NIS2-richtlijn

Richtlijn betreffende de beveiliging van netwerk- en informatiesystemen

Overzicht

NIS2 vervangt en breidt de oorspronkelijke NIS-richtlijn aanzienlijk uit, en stelt een hoog gemeenschappelijk niveau van cyberbeveiliging vast binnen de EU. Het is van toepassing op een veel breder scala aan sectoren en entiteiten, introduceert strengere toezichtmaatregelen en harmoniseert sancties tussen de lidstaten.[1]

Als richtlijn moest NIS2 uiterlijk 17 oktober 2024 in nationale wetgeving worden omgezet. De implementatie verschilt per lidstaat.

Reikwijdte: Essentiële versus Belangrijke Entiteiten

Essentiële Entiteiten (Strengere Toezicht)[2]

SecteurVoorbeelden
EnergieElektriciteit, olie, gas, waterstof, stadsverwarming
TransportLucht, spoor, water, weg
BankwezenKredietinstellingen
Financiële marktenHandelsplaatsen, centrale tegenpartijen
GezondheidZorgverleners, laboratoria, farmaceutica, medische hulpmiddelen
DrinkwaterWatervoorzieners
AfvalwaterAfvalwaterzuivering
Digitale infrastructuurIXP's, DNS, TLD-registries, cloud, datacenters, CDN's, TSP's
ICT-dienstbeheerManaged service providers, managed security service providers
Openbare administratieEntiteiten van de centrale overheid
RuimtevaartGrondgebonden infrastructuurbeheerders

Belangrijke Entiteiten (Lichter Toezicht)

SecteurVoorbeelden
PostdienstenPost- en koeriersdiensten
AfvalbeheerAfvalinzameling en -verwerking
ChemieProductie en distributie
VoedselProductie en distributie
ProductieMedische hulpmiddelen, elektronica, machines, voertuigen
Digitale aanbiedersOnline marktplaatsen, zoekmachines, sociale netwerken
OnderzoekOnderzoeksorganisaties

Groottecriteria

NIS2 is over het algemeen van toepassing op middelgrote en grote entiteiten:

  • Middelgroot: 50+ werknemers OF €10 miljoen+ omzet/balans
  • Groot: 250+ werknemers OF €50 miljoen+ omzet OF €43 miljoen+ balans

Sommige entiteiten zijn van toepassing ongeacht de grootte (DNS, TLD-registries, cloudproviders, datacenters, enz.).

Belangrijkste Vereisten

Risicobeheersmaatregelen (Artikel 21)[3]

Entiteiten moeten passende technische, operationele en organisatorische maatregelen implementeren:

  1. Beleidslijnen: Risicoanalyse en beveiligingsbeleid voor informatiesystemen
  2. Incidentafhandeling: Detectie-, respons- en herstelprocedures
  3. Continuïteit van de bedrijfsvoering: Back-up, rampenherstel, crisisbeheer
  4. Beveiliging van de toeleveringsketen: Beveiligingseisen voor leveranciers
  5. Netwerkbeveiliging: Beveiliging bij verwerving, ontwikkeling en onderhoud
  6. Effectiviteitsbeoordeling: Beleidslijnen om de effectiviteit van beveiligingsmaatregelen te evalueren
  7. Basis cyberhygiëne: Opleidings- en bewustwordingsprogramma's
  8. Cryptografie: Beleidslijnen over cryptografische controles en versleuteling
  9. Personeelszaken: Personeelsbeveiliging en toegangscontrole
  10. Multi-factor authenticatie: MFA en beveiligde communicatiesystemen

Incidentmelding (Artikel 23)[4]

TijdslijnVereiste
24 uurVroege waarschuwing aan CSIRT/bevoegde autoriteit
72 uurIncidentmelding met eerste beoordeling
1 maandDefinitief rapport met oorzaak en mitigatie

Significante incidenten moeten worden gemeld als ze ernstige operationele verstoring of financieel verlies veroorzaken of kunnen veroorzaken, of andere natuurlijke of rechtspersonen beïnvloeden.

Verantwoordelijkheid van het Management

Bestuursorganen moeten:

  • De risicobeheersmaatregelen voor cyberbeveiliging goedkeuren
  • Toezicht houden op de implementatie van beveiligingsmaatregelen
  • Persoonlijk aansprakelijk zijn bij niet-naleving
  • Cybersecuritytraining volgen

Sancties

  • Essentiële entiteiten: Tot €10 miljoen of 2% van de wereldwijde omzet
  • Belangrijke entiteiten: Tot €7 miljoen of 1,4% van de wereldwijde omzet[5]

Lidstaten kunnen aanvullende sancties opleggen, waaronder tijdelijke bestuursverboden.

Verplichtingen voor Ontwikkelaars en ICT-Dienstverleners

Als u ICT-diensten of -producten levert:

  1. Managed Service Providers: Direct in scope als essentiële entiteiten
  2. Cloudproviders: Direct in scope als essentiële entiteiten
  3. Softwareontwikkelaars: Verplichtingen in de toeleveringsketen vanuit klantentiteiten
  4. Beveiligingsleveranciers: Kunnen worden aangewezen als belangrijke entiteiten

Bronnen & Referenties

[1]
Richtlijn (EU) 2022/2555 over een hoog gemeenschappelijk niveau van cyberbeveiliging. EUR-Lex: NIS2 Officiële Tekst
[2]
NIS2 Bijlagen I en II: Sectoren van essentiële en belangrijke entiteiten. NIS2-Directive.com: Sectoren
[3]
NIS2 Artikel 21: Maatregelen voor risicobeheer in cyberbeveiliging. NIS2-Directive.com: Artikel 21
[4]
NIS2 Artikel 23: Verplichtingen voor incidentmelding. NIS2-Directive.com: Artikel 23
[5]
NIS2 Artikel 34: Administratieve boetes. NIS2-Directive.com: Artikel 34