De Europese Unie heeft te maken gekregen met steeds grotere bedreigingen in het cyberlandschap na COVID-19 en door een steeds meer onderling verbonden wereld van IoT’s. Dit creëert een uitdagende risico-omgeving voor zowel publieke als private actoren. Daarom heeft de Europese Unie het NIS2-raamwerk gelanceerd, dat voortbouwt op het vorige NIS1 om de standaardisatie in de unie te verbeteren en te harmoniseren.
De NIS2-richtlijn is de eerste EU-brede cyberbeveiligingswet die in januari 2023 is geïntroduceerd. Deze is gericht op het waarborgen van consistente en sterke cyberbeveiligingsnormen in alle lidstaten. Ook is de uiterste datum voor lidstaten om de richtlijn in nationale wetgeving op te nemen 17 oktober 2024. Voorheen waren lidstaten meer zelf verantwoordelijk voor het bepalen welke entiteiten binnen de reikwijdte vallen, afhankelijk van hun kritikaliteit. Nu stelt NIS 2 de reikwijdte voor deze bepaling vast en is er een “omvangbeperking” die middelgrote en grote organisaties omvat, en ook sectoren verdeelt in essentiële en belangrijke entiteiten.
Als het gaat om het voldoen aan regelgevende vereisten, introduceert de NIS2-richtlijn een verhoogde verantwoordelijkheid door directe aansprakelijkheid te leggen bij managementpartijen om toezicht te houden op en naleving van de norm te waarborgen. Het niet naleven hiervan kan resulteren in boetes en tijdelijke beperkingen op het bekleden van managementfuncties.
In NIS 2 is er een verhoogde focus op incidentbeheer waarbij de rapportagevereisten zijn aangepast. Bovendien verplicht NIS2 de implementatie van ander cyber-risicobeheer, rondom cyberbeveiliging in toeleveringsketens, bedrijfscontinuïteit, netwerkbeveiliging, toegangscontrole en encryptie.
Er is een nieuwe regel voor toezicht en verhoogde verantwoordingsplicht waarbij de lidstaten de bevoegdheid hebben om strengere sancties en boetes op te leggen, bijvoorbeeld: administratieve boetes tot € 10 miljoen of 2% van de wereldwijde omzet voor sommige overtredingen.
Wat betreft nieuwe wetgeving, kan verwacht worden dat er obstakels zullen zijn voor zowel openbare als private organisaties, door een gebrek aan voldoende personeel voor de implementatie, een gebrek aan budgettaire middelen en uitdagingen om zich aan te passen aan nieuwe omgevingen. Om deze problemen aan te pakken, is het belangrijk om actief voor te bereiden en potentiële hindernissen van tevoren te anticiperen, zodat dergelijke uitdagingen dienovereenkomstig kunnen worden opgelost.