De NIS2-richtlijn is een herziening van de eerste EU-wetgeving inzake netwerk- en informatiebeveiliging (NIS) die in 2016 werd aangenomen. De NIS2-richtlijn heeft tot doel de cyberweerbaarheid van de EU te versterken door een hoger niveau van beveiliging te eisen van de essentiële en belangrijke entiteiten die actief zijn in de EU. Maar welke bedrijven vallen eigenlijk onder NIS2? In deze blog geven we een kort overzicht van de sectoren en diensten die onder de nieuwe regels vallen en wat dat voor hen betekent.
Essentiële entiteiten
Essentiële entiteiten zijn bedrijven die essentiële diensten aanbieden die van vitaal belang zijn voor de samenleving en de economie. De NIS2-richtlijn breidt de lijst van essentiële sectoren uit van zeven naar tien, namelijk:
· Energie (elektriciteit, olie en gas)
· Transport (lucht, spoor, water en weg)
· Bankwezen
· Financiële marktinfrastructuren
· Gezondheidszorg
· Drinkwater en waterdistributie
· Digitale infrastructuur
· Openbaar bestuur
· Ruimtevaart
· Afvalbeheer
Essentiële entiteiten moeten voldoen aan een aantal verplichtingen op het gebied van risicobeheer, incidentmelding, informatie-uitwisseling en audits. Zij moeten ook passende beveiligingsmaatregelen nemen om de continuïteit en veerkracht van hun diensten te waarborgen. De NIS2-richtlijn voorziet ook in strengere sancties voor essentiële entiteiten die niet aan de eisen voldoen, die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Belangrijke entiteiten
Belangrijke entiteiten zijn bedrijven die belangrijke diensten aanbieden die een aanzienlijke impact kunnen hebben op de samenleving en de economie. De NIS2-richtlijn introduceert een nieuwe categorie van belangrijke sectoren, namelijk:
· Post- en koeriersdiensten
· Chemische productie en verwerking
· Voedselproductie, verwerking en distributie
· Productie en verwerking van geneesmiddelen
· Productie van medische hulpmiddelen
· Digitale dienstverleners (cloud computing, online marktplaatsen, zoekmachines, sociale netwerken, enz.)
· Publieke en particuliere onderzoeksorganisaties
Belangrijke entiteiten moeten ook voldoen aan een aantal verplichtingen op het gebied van risicobeheer, incidentmelding en informatie-uitwisseling, maar deze zijn minder streng dan voor essentiële entiteiten. Zij moeten ook passende beveiligingsmaatregelen nemen, maar deze worden bepaald door de lidstaten in plaats van door de EU. De sancties voor belangrijke entiteiten die niet aan de eisen voldoen, zijn ook lager en kunnen oplopen tot 7 miljoen euro of 1.4% van de wereldwijde jaaromzet.
Indirecte entiteiten
Indirecte entiteiten zijn bedrijven die diensten leveren aan essentiële of belangrijke entiteiten, of die afhankelijk zijn van hun diensten. De NIS2-richtlijn erkent dat de cyberbeveiliging van de EU-keten zo sterk is als de zwakste schakel, en dat indirecte entiteiten ook een rol spelen bij het waarborgen van de veiligheid en de continuïteit van de essentiële en belangrijke diensten. Voorbeelden van indirecte entiteiten zijn leveranciers, onderaannemers, distributeurs, logistieke bedrijven, enz. De NIS2-richtlijn verplicht de essentiële en belangrijke entiteiten om ervoor te zorgen dat hun indirecte entiteiten ook passende beveiligingsmaatregelen nemen en dat zij contractuele clausules opnemen om de naleving van de NIS2-eisen te garanderen. Indirecte entiteiten moeten ook incidenten melden aan hun essentiële of belangrijke entiteiten, die deze vervolgens aan de autoriteiten moeten doorgeven.
Conclusie
De NIS2-richtlijn is een belangrijke stap voorwaarts in de bescherming van de EU tegen cyberdreigingen en het versterken van de digitale soevereiniteit. De richtlijn heeft gevolgen voor een groot aantal bedrijven die essentiële, belangrijke of indirecte diensten aanbieden in de EU, en vereist dat zij hun cyberbeveiligingsniveau verhogen en meer samenwerken met de autoriteiten. NIS2 is een EU-richtlijn die gericht is op het creëren van een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie. De richtlijn is in januari 2023 in werking getreden en verplicht de lidstaten om de richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving.