Nieuwe NIS2 beveiligingsrichtlijn geldt voor alle middelgrote en grote bedrijven
In november 2022 heeft het Europees Parlement de NIS2-richtlijn met overweldigende meerderheid van stemmen aangenomen. De richtlijn netwerk- en informatiesystemen (NIS) uit 2016 is niet alleen een update van de NIS uit 2016, maar vooral een verhoging van de digitale weerbaarheid van bedrijven en instellingen in Europa. Hiertoe zijn nu minimum cybersecurity standaarden gepubliceerd die in de gehele EU moeten worden geïmplementeerd. De eisen hebben onder meer betrekking op incidentenbehandeling, beveiliging in de keten, encryptie en openbaar maken van kwetsbaarheden.
Naleving van de NIS-richtlijn helpt bedrijven hun systemen en activa en ook die van hun klanten en partners te beschermen. Dit vermindert het risico van dure beveiligingsincidenten en verbetert de veiligheid en continuïteit van het bedrijf. Het aantonen van naleving van de NIS-richtlijn verbetert ook de reputatie en geloofwaardigheid van het bedrijf, omdat het laat zien dat het bedrijf cyberbeveiliging serieus neemt en zich inzet voor de bescherming van de veiligheid en privacy van de informatie van zijn klanten.
De NIS-richtlijn vereist dat organisaties bepaalde technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen. Dit betreft meerdere gebieden, zoals procedures voor het verlenen van toegang, het melden van incidenten en de daarmee samenhangende beheerprocessen. De invoering en handhaving van deze maatregelen kan kostbaar zijn en de CISO zal de kosten en baten van de naleving goed moeten motiveren.
De nieuwe regels gelden nu voor zogenaamde “belangrijke sectoren”, zowel voor grote als middelgrote ondernemingen. Als belangrijk gelden in ieder geval de postdiensten, medische sector, levensmiddelen, electra, IT-producten en diensten, chemicaliën, afvalbeheer, machines en motorvoertuigen. Ook zoveel mogelijk overheids- en openbare instanties vallen onder de nieuwe regels. De regels voorzien in een sanctieregime waarbij direct en indirect verantwoordelijken voor cyberaanvallen hard kunnen worden aangepakt.
November 2022