Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Zoeken

  1. Netherlands
  2. Inspiratie
  3. Blog
  4. Cybersecurity
  5. NIS2 richtlijn: de gevolgen voor het MKB en de lokale overheid

NIS2 richtlijn: de gevolgen voor het MKB en de lokale overheid

Cybersecurity

Share

De NIS2 richtlijn (richtlijn netwerk- en informatiesystemen) is op 10 november 2022 door het Europees Parlement aangenomen en op 27 december 2022 gepubliceerd in het Publicatieblad van de Europese Unie. De lidstaten hadden tot september 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. Maar waarom een nieuwe versie van deze richtlijn? Wat zijn de belangrijkste wijzigingen in de regelgeving? En wat zijn de gevolgen voor het MKB en lokale overheden? In dit artikel worden enkele mogelijke antwoorden gegeven.

 

De NIS2: Waarom een nieuwe versie van de richtlijn?

De NIS2-richtlijn is opgesteld om in te spelen op de snel veranderende dreigingslandschappen op het gebied van cybersecurity. Cyberaanvallen, zoals ransomware en supply chain-aanvallen, blijven toenemen in frequentie en complexiteit. Uit recente gegevens blijkt dat cybercriminelen steeds vaker kleine en middelgrote bedrijven aanvallen vanwege hun beperkte beveiligingsmaatregelen. Volgens het laatste rapport van het European Union Agency for Cybersecurity (ENISA) is het aantal gerichte aanvallen op kritieke sectoren met 25% gestegen ten opzichte van 2022. Deze trends onderstrepen de noodzaak van een verbeterd juridisch kader om de digitale veiligheid in Europa te waarborgen.

 

De NIS1 richtlijn - een beschermingsmechanisme voor de lidstaten

In zijn eerste versie, vastgesteld in 2016, was de NIS1 richtlijn bedoeld om bedrijven te identificeren in de zogenaamde "essentiële" sectoren, waar disruptie van de dienstverlening zou kunnen leiden tot aanzienlijke verstoring van bedrijven en overheidsdiensten. Bedrijven die verantwoordelijk zijn voor kritieke infrastructuur in 19 sectoren, zoals gezondheidszorg, energie en telecommunicatie, werden toen aangewezen als OES (Operator of Essential Services).

Hoewel deze eerste versie een grote stap voorwaarts betekende in de standaardisering van de beveiliging van de belangrijkste Europese bedrijven, werd geen rekening gehouden met onderaannemers en lokale overheden, die beide de afgelopen jaren zwaar zijn getroffen door beveiligingsincidenten.

 

De NIS2 richtlijn verruimt de scope waarop de richtlijn toepasbaar is om deze uitdagingen op te lossen.

De vernieuwing van deze richtlijn omvat zowel een uitbreiding van de verplichtingen, als  een verbreding van de betrokken sectoren. Tevens is de NIS2 richtlijn, in tegenstelling tot de NIS1, voor alle lidstaten juridisch bindend.  

NIS2 heeft meerdere doelstellingen:

  • Het verhogen van het veiligheidsniveau en de weerbaarheid van publieke en private partijen welke actief zijn binnen de EU.
  • Het versterken en uniformeren van zowel de naleving als de handhaving binnen de individuele lidstaten.
  • Het verbeteren van het situationeel bewustzijn en het handelingsperspectief om effectief en efficient te kunnen optreden tijdens grootschalige cyber incidenten.
  • De uitbreiding van de betrokken sectoren van 19 naar 35, met inbegrip van bijvoorbeeld afvalbeheer, postdiensten en voedselverwerking. 

 

Daarnaast is er nog een belangrijke wijziging: NIS2 betekent het einde van de OESs en creëert twee nieuwe soorten bedrijven - Essential Entities (EEs) and Important Entities (IEs). Het onderscheid tussen deze twee soorten bedrijven is gebaseerd op hoe kritisch de activiteiten van het bedrijf zijn.

 

De impact van NIS2 voor MKB en lokale overheden

Met de invoering van NIS2 staan bedrijven en lokale overheden voor aanzienlijke uitdagingen. Het voldoen aan de richtlijn vereist een strategische herziening van cybersecurityprocessen en -structuren. Vooral in sectoren waar cybersecuritytraditioneel minder aandacht heeft gekregen, zal dit leiden tot significante transformaties.

Het toepassingsgebied voor NIS2 is groter. Het aantal betrokken sectoren is toegenomen van 19 tot 35, waaronder sectoren zoals afvalwaterverwerking, drinkwatervoorziening en afvalbeheer.  Deze nieuwe voorschriften zullen dus van toepassing zijn op alle entiteiten die binnen deze sectoren in de Europese Unie actief zijn, ongeacht hun omvang. Door deze uitbreiding van sectoren zal het aantal betrokken entiteiten vertienvoudigen.

Tot nu toe ging het alleen om bedrijven die als OES, OVI (Operator of Vital Importance) of DSP (Digital Service Providers) waren aangewezen. Van nu af aan zullen lokale overheden, bedrijven met meer dan 50 werknemers en een omzet van meer dan een miljoen euro, alsook onderaannemers van bedrijven die onder de richtlijn vallen, aan de richtlijn moeten voldoen.

Wat zijn de verplichtingen voor de betrokken bedrijven?

  • Het treffen van beveiligingsmaatregelen om IT-netwerken en -systemen te beschermen tegen cyberdreigingen.
  • Het identificeren en beoordelen van cyberrisico's.
  • Samenwerken met bevoegde autoriteiten en exploitanten van essentiële diensten in geval van beveiligingsincidenten.
  • Significante cyberbeveiligingsincidenten melden aan een CERT (Computer Emergency Response Team) met een waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur.

 

De toepassing van een dergelijk beveiligingsbeleid betekent investeringen in cyberbeveiligingsproducten en diensten. Of dit nu de vorm aanneemt van een SOC, EDR of XDR, het voldoen aan deze vereisten kan complex zijn voor bepaalde lokale overheden en MKB-bedrijven die een achterstand hebben opgelopen in het gebruik van cyberbeveiligingstools en de ontwikkelen van interne vaardigheden voor het gebruik van dergelijke instrumenten.

 

Zijn er sancties vastgesteld indien de NIS2 richtlijn niet wordt nageleefd?

De Europese Directive legt sancties op indien organisaties de verplichtingen niet nakomen. Deze sancties kunnen verschillende vormen aannemen, zoals boetes (tot 10 miljoen euro of 2% van de totale jaaromzet van de organisatie), strafrechtelijke sancties of corrigerende maatregelen. Deze sancties worden vastgesteld door de lidstaten met als doel ervoor te zorgen dat zij doeltreffend en evenredig zijn en een afschrikkende werking hebben.

Samenvattend, NIS2 is een nieuwe stap voorwaarts in de verbetering en uniformering van de beveiliging van bedrijven die in verband staan met de kritieke infrastructuur in de lidstaten. In een onstabiele geopolitieke context staan het MKB en de lokale autoriteiten in deze sectoren de komende maanden voor bestuurlijke en organisatorische uitdagingen. Deze uitdagingen zullen aanzienlijk zijn omdat 160.000 additionele entiteiten het niveau van digitale beveiliging in lijn moeten brengen met de vereisten van de NIS2 en daaruit voortkomende Nederlandse wet- en regelgeving zoals opgenomen in de Wbni. Om deze uitdagingen aan te gaan, zullen bedrijven de diensten van gekwalificeerde dienstverleners nodig hebben om hen bij hun transformatie te ondersteunen.

 

Hoe kan Orange Cyberdefense jou helpen?

Als Cybersecurity Advisory en Services Provider streven wij naar een veilige digitale samenleving. Ruim 25 jaar ondersteunen wij organisaties met het beantwoorden van security vraagstukken wereldwijd. Ben je een zogenaamde ‘essentiële entiteit’, of een ‘belangrijke entiteit’ met meer dan 50 medewerkers, dan is de NIS2 richtlijn van toepassing op jouw organisatie. Wil je weten waar je nu staat qua beveiligingsniveau en niveau van compliance? Middels gestructureerde assessments en/of opdrachten op maat helpen onze experts je met advies en begeleiding om samen tot een passende weg voorwaarts te komen.

Neem contact met ons op voor meer informatie.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11