Over de NIS2 richtlijn: Wat u moet weten
Cyberbeveiliging is niet langer optioneel, maar een wettelijke verplichting. Om de digitale veerkracht in heel Europa te versterken, heeft de Europese Unie de NIS2-richtlijn ingevoerd, ter vervanging van de oorspronkelijke NIS-richtlijn. NIS2 stelt strengere eisen aan essentiële en belangrijke entiteiten in kritieke sectoren, met wettelijke verplichtingen op het gebied van risicobeheer, incidentrapportage en verantwoordingsplicht van het bestuur.
Deze pagina biedt een duidelijk overzicht van de NIS2-richtlijn, het toepassingsgebied ervan, de belangrijkste wijzigingen ten opzichte van NIS en wat dit in de praktijk betekent. Wilt u uw organisatie hierop voorbereiden? Bekijk dan de NIS2-training bij BC Academy, CyberFundamentals-certificering of ISO 27001-certificering.
Wat is NIS2?
Wat is NIS2?
De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten. De NIS2-richtlijn is van toepassing sinds 16 januari 2023.
Elke EU-lidstaat dient de richtlijn uiterlijk op 17 oktober 2024 omgezet te hebben in nationale wetgeving. Vanaf 18 oktober 2024 zijn organisaties die binnen het toepassingsgebied van de nationale NIS2-wet vallen, verplicht om aan deze wet te voldoen.
Wat is het verschil tussen NIS en NIS2?
Wat is het verschil tussen NIS en NIS2?
Om verhoogde bescherming te bieden tegen toenemende cyberincidenten en –bedreigingen, werd de NIS-richtlijn vervangen door de NIS2-richtijn. Deze laatste introduceert aanzienlijke verbeteringen ten opzichte van de oorspronkelijke NIS-richtlijn door de sectorale dekking uit te breiden, de beveiligingsvereisten aan te scherpen en strengere rapportageverplichtingen op te leggen. In tegenstelling tot NIS, die flexibiliteit bij de nationale implementatie toestond, zorgt NIS2 voor geharmoniseerde cyberbeveiligingsvoorschriften in alle EU-lidstaten. Bovendien zijn de sancties voor niet-naleving aanzienlijk verhoogd om de verantwoordingsplicht te versterken.
1. Breder toepassingsgebied
Waar de oorspronkelijke NIS zich voornamelijk richtte op een beperkte groep essentiële diensten zoals energie, transport, bankwezen, gezondheidszorg en digitale infrastructuur, breidt NIS2 het toepassingsgebied uit met meer sectoren zoals post- en koeriersdiensten, afvalwater- en afvalbeheer, voedselproductie, ruimtevaart en digitale dienstverleners. De sectoren die binnen het toepassingsgebied van NIS2 vallen, worden beschreven in bijlage I en II van de NIS2-richtlijn.
2. Categorisering in essentiële en belangrijke entiteiten
Lidstaten bepaalden onder de NIS zelf welke organisaties als kritiek werden aangemerkt, wat leidde tot inconsistenties binnen de EU. De NIS2 introduceert een uniforme benadering gebaseerd op de grootte van de organisatie. Alle middelgrote en grote ondernemingen in de sectoren uit bijlage I en II vallen binnen het toepassingsgebied van de NIS2. Daarnaast kunnen lidstaten ook kleine ondernemingen met een hoog veiligheidsrisicoprofiel verplichten aan de vereisten van NIS2 te voldoen. Afhankelijk van de sector waarin de organisatie actief is en de bedrijfsgrootte, wordt een onderscheid gemaakt tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. Dit onderscheid is van belang aangezien zij onderworpen zijn aan een ander controlesysteem.
3. Versterking van risicobeheersmaatregelen en rapportagevereisten
De NIS2 beschrijft een minimumlijst van beheersmaatregelen die door de entiteit geïmplementeerd dienen te worden. Daarnaast wordt ook bepaald hoe een significant incident gemeld dient te worden, wanneer dergelijk incident gemeld dient te worden en waaraan de rapportage moet voldoen. Beide onderwerpen worden verder toegelicht onder uitklapmenu ‘Wat betekent dit voor mijn organisatie?’.
4. Strengere toezichtsmaatregelen
De NIS2 voorziet in strengere straffen bij het niet naleven van de regelgeving. De nationale autoriteit kan administratieve maatregelen opleggen zoals waarschuwingen geven, een certificering of vergunning tijdelijk opschorten enzovoort. Daarnaast kunnen administratieve boetes gegeven worden in het geval van niet-naleving door de essentiële of belangrijke entiteit, die kunnen oplopen tot respectievelijk 10.000.000 euro en 7.000.000 euro.
Waarom NIS2?
Waarom NIS2?
De NIS2-richtlijn beoogt in principe dezelfde doelstellingen als de NIS-richtlijn, namelijk:
- Het verplichten van nationale overheden om in te zetten op cybersecurity.
- Het versterken van de cyberweerbaarheid van essentiële en belangrijke sectoren in onze samenleving.
- Het creëren van gelijkwaardige minimumnormen voor cybersecurity in alle EU-lidstaten.
- Het verbeteren van de grensoverschrijdende samenwerking en informatie-uitwisseling tussen nationale autoriteiten.
Valt mijn organisatie binnen het toepassingsgebied van NIS2?
Valt mijn organisatie binnen het toepassingsgebied van NIS2?
In principe valt uw organisatie onder de NIS2 indien ze actief is in één van de (sub)sectoren uit bijlage I en II van de richtlijn en van een bepaalde grootte is.
De sectoren die als zeer kritiek beschouwd worden, worden beschreven in bijlage I van de richtlijn:
- Energie (Elektriciteit, stadsverwarming en –koeling, aardolie, aardgas, waterstof)
- Vervoer (lucht, spoor, water, weg)
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten (B2B)
- Overheid
- Ruimtevaart
Kritieke sectoren onder de NIS2 worden opgesomd in bijlage II van de richtlijn:
- Post- en koerierdiensten
- Afvalstoffenbeheer
- Vervaardiging, productie en distributie van chemische stoffen
- Productie, verwerking en distributie van levensmiddelen
- Vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; van informaticaproducten en van elektronische en optische producten; van elektrische apparatuur; van machines, apparaten en werktuigen; van motorvoertuigen, aanhangers en opleggers; van andere transportmiddelen)
- Digitale aanbieders
- Onderzoek
Naast de geleverde diensten, speelt ook de omvang van de entiteit een rol in het bepalen van het al dan niet vallen in het toepassingsgebied van de NIS2-wet. In principe dient de entiteit minstens een middelgrote onderneming te zijn.
Volgens de Europese definitie, vastgelegd in Aanbeveling 2003/631/EG, worden ondernemingen ingedeeld in drie categorieën op basis van het aantal werknemers (gemeten in voltijdequivalenten (VTE) en op basis van hun financiële gegevens (jaaromzet en/of jaarlijks balanstotaal):
| Micro- of kleine onderneming | Middelgrote onderneming | Grote onderneming | |
|---|---|---|---|
| Aantal VTE | < 50 VTEs | ≥ 50 VTEs and < 250 VTEs | > 250 VTEs |
| Jaaromzet (in €) | ≤ 10 mln. | > 10 mln. and ≤ 50 mln. | > 50 mln. |
| Balanstotaal (in €) | ≤ 10 mln. | > 10 mln.and ≤ 43 mln. | > 43 mln. |
Om de grootte van een organisatie te bepalen, wordt eerst het aantal werkzame personen binnen de entiteit bepaald. Vervolgens wordt de jaaromzet en het jaarlijkse balanstotaal nagegaan. Hierbij kan de onderneming kiezen om ofwel aan de grenswaarde van de jaaromzet te voldoen, ofwel aan die van het jaarlijkse balanstotaal. Eén van beiden kan aldus de grenswaarde overschrijven, zonder de KMO-status te beïnvloeden.
Bijvoorbeeld:
Een bedrijf dat 55 VTE (middelgroot) telt, een jaaromzet heeft van 20 mln. euro (middelgroot) en een balanstotaal van 50 mln. euro (groot) wordt geclassificeerd als middelgrote onderneming.
De combinatie van de sector en de bedrijfsgrootte leidt tot een onderverdeling tussen essentiële entiteiten en belangrijke entiteiten:
| Middelgrote onderneming | Grote onderneming | |
|---|---|---|
| Diensten van bijlage I | Belangrijke entiteit | Essentiële entiteit |
| Diensten van bijlage II | Belangrijke entiteit | Belangrijke entiteit |
Op bovenstaande regel zijn enkele uitzonderingen en dient er rekening gehouden te worden met volgende aandachtspunten:
- Wanneer de entiteit deel uitmaakt van een groep, dient men bij het berekenen van de bedrijfsgrootte de geconsolideerde gegevens te gebruiken.
- Bepaalde entiteiten vallen ongeacht hun omvang onder het toepassingsgebied van de NIS2-wet:
- Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
- Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
- DNS-serviceproviders (essentieel)
- TLD-naamregisters (essentieel)
- Domeinnaamregistratiediensten
- Aanbieders van openbare elektronische communicatienetwerken (essentieel)
- Aanbieders van openbare elektronische communicatiediensten (essentieel)
- Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
- Overheden die van de Federale Staat afhangen (essentieel)
- Verder kan de lidstaat een entiteit in bepaalde omstandigheden aanduiden als essentieel of belangrijk, ongeacht de omvang.
- Indien een organisatie geen essentiële of belangrijke entiteit betreft, kan die alsnog geaffecteerd worden door de nationale NIS2-wetgeving indien desbetreffende entiteit behoort tot de toeleveringsketen van een NIS2-entiteit.
Wat betekent dit voor mijn organisatie?
Wat betekent dit voor mijn organisatie?
Essentiële en belangrijke entiteiten zijn onderworpen aan verschillende verplichtingen met het oog op het beschermen en beheren van hun netwerk- en informatiesystemen, het voorkomen van incidenten of het beperken van de gevolgen van incidenten. De belangrijkste verplichtingen worden hieronder beschreven. Daarnaast worden deze voor iedere lidstaat afzonderlijk uitgewerkt.
1. Risicobeheersmaatregelen
De NIS2-richtlijn bevat een minimum aan beheersmaatregelen die de essentiële en belangrijke entiteit dient te implementeren om de netwerk- en informatiesystemen en de fysieke toegang van die systemen te beschermen tegen incidenten. Deze worden in de richtlijn als volgt omschreven:
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen
- Incidentenbehandeling
- Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer
- De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
- Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
- Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging
- Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
- Wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
2. Rapportageverplichtingen
Belangrijke en essentiële entiteiten zijn verplicht het nationale CSIRT in kennis te stellen indien zich een significant incident voordoet.
Een significant incident wordt volgens de NIS2-richtlijn gedefinieerd als:
- ‘een ernstige operationele verstoring van de diensten of financiële verliezen voor de betrokken entiteit veroorzaakt of kan veroorzaken;
- andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.’
Het significante incident wordt door de essentiële en belangrijke entiteit gemeld aan het CSIRT volgens volgende procedure:
- Een vroegtijdige waarschuwing wordt onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident ingediend, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;
- Een incidentenmelding wordt onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident ingediend, dat een informatie update bevat en een initiële beoordeling van het incident;
- Een tussentijds verslag wordt ingediend op verzoek van het CSIRT of van de bevoegde autoriteit;
- Een eindverslag wordt ingediend uiterlijk 1 maand na de incidentenmelding, met vermelding van:
- Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;
- Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
- Toegepaste en lopende risicobeperkende maatregelen;
- De grensoverschrijdende gevolgen van het incident, indien van toepassing.
- Een voortgangsverslag wordt ingediend indien het incident nog lopende is een maand na de incidentenmelding en een eindverslag wordt ingediend binnen de maand na de afhandeling van incident.
3. Verplichtingen en verantwoordelijkheden van het management
De bestuursorganen van essentiële en belangrijke entiteiten dienen te voldoen aan specifieke verplichtingen zoals het goedkeuren van de getroffen beheersmaatregelen en toezien op de uitvoering ervan. Daarnaast dienen de leden van het bestuur opleiding te volgen om ervoor te zorgen dat hun kennis en vaardigheden toereikend zijn om risico’s te identificeren en de getroffen beheersmaatregelen en hun impact op de geleverde diensten te kunnen beoordelen. Ook dienen zijn dergelijke opleiding aan hun medewerkers aan te bieden. Het bestuursorgaan is aansprakelijk in het geval van niet-naleving van de wet- en regelgeving.
4. Samenwerking met autoriteiten
NIS2-entiteiten dienen samen te werken met de nationale bevoegde autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.