Cyber4Z B.V. - High Tech Campus 9

De NIS 2 is een Europese richtlijn voor netwerk- en informatiesystemen op grond waarvan lidstaten wetgeving gaan formuleren. In mei/juni 2022 wordt de definitieve versie van de richtlijn verwacht, waarna lidstaten binnen 18 maanden de eigen regels geformuleerd moeten hebben. Deze worden onmiddellijk van kracht, vermoedelijk uiterlijk in november 2023.

De bestaande regels inzake de beveiliging van netwerk- en informatiesystemen (NIS-richtlijn) waren het eerste stuk EU-brede wetgeving met betrekking tot cyberbeveiliging en hebben de weg vrijgemaakt voor een aanzienlijke verandering in de mentaliteit, de institutionele en regelgevende benadering van cyberbeveiliging in veel lidstaten. Desondanks hebben organisaties nog steeds te maken met het toenemende aantal cyberkwaadaardige activiteiten op mondiaal niveau.

Om te reageren op deze toegenomen blootstelling van Europa aan cyberdreigingen, bestrijkt de NIS 2-richtlijn nu middelgrote en grote entiteiten uit meer sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater en afvalbeheer, fabricage van kritieke producten, post- en koeriersdiensten en openbaar bestuur, zowel op centraal als regionaal niveau.

Het dekt ook breder de zorgsector, bijvoorbeeld door fabrikanten van medische hulpmiddelen op te nemen, gezien de toenemende veiligheidsrisico’s die zijn ontstaan tijdens de COVID-19-pandemie. De uitbreiding van het toepassingsgebied dat door de nieuwe regels wordt bestreken, door meer entiteiten en sectoren daadwerkelijk te verplichten maatregelen te nemen voor risicobeheer op het gebied van cyberbeveiliging, zal het niveau van cyberbeveiliging in Europa op middellange en lange termijn helpen verhogen.

De NIS 2-richtlijn versterkt ook de cyberbeveiligingsvereisten die aan de bedrijven worden opgelegd, pakt de beveiliging van toeleveringsketens en leveranciersrelaties aan en introduceert aansprakelijkheid van het topmanagement voor niet-naleving van de cyberbeveiligingsverplichtingen. Het stroomlijnt de rapportageverplichtingen, introduceert strengere toezichtmaatregelen voor nationale autoriteiten, evenals strengere handhavingsvereisten, en heeft tot doel de sanctieregelingen in de lidstaten te harmoniseren. Het zal bijdragen tot meer informatie-uitwisseling en samenwerking op het gebied van cybercrisisbeheersing op nationaal en EU-niveau.