Onze diensten

Europese richtlijn voor cybersecurity

Datum: 05-12-2022

De ‘Network and Information Security Directive’ (NIS) is de eerste Europese wetgeving over cybersecurity en heeft als doel: het tot stand brengen van een gemeenschappelijk niveau van cybersecurity in alle lidstaten. NIS is in Nederland ook wel bekend onder de noemer NIB, dat staat voor Netwerk- en Informatiebeveiligingsrichtlijn. Deze richtlijn was toe aan herziening. Onlangs heeft het Europees Parlement de nieuwe NIS2 richtlijn goedgekeurd. 

Reden voor herziening

Op dit moment geldt in Europa de NIS1 richtlijn, een wet over cybersecurity voor essentiële organisaties. Aanbieders van Essentiële Diensten (AED’s), zoals energieleveranciers en het openbaar vervoer, moeten onder deze richtlijn maatregelen treffen om netwerk- en informatiesystemen te beveiligen. Zo’n maatregel is bijvoorbeeld het uitvoeren van een risicoanalyse om digitale zwakke punten in de organisatie te achterhalen. De NIS1 geldt sinds 2018 en is inmiddels verouderd. We zijn steeds meer afhankelijk van informatie- en beveiligingsnetwerken. Dit in combinatie met toenemende dreigingen en cyberaanvallen is genoeg reden voor een herziening van de richtlijn. Daarnaast past niet elke lidstaat de wet even strikt toe. Een verscherping van de eisen aan cybersecurity en strengere toezichtsmaatregelen zijn noodzakelijk.  

NIS2 richtlijn

Op 10 november 2022 heeft het Europees Parlement de NIS2 richtlijn goedgekeurd. De NIS2 richtlijn verhoogt de cybersecurity eisen door heel Europa en benoemt meer organisaties als een AED. De herziene richtlijn kent straks twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij essentiële aanbieders is het toezicht proactief. Incidenten bij een essentiële aanbieder kunnen namelijk leiden tot ernstige maatschappelijke ontwrichting. Bij belangrijke aanbieders vindt toezicht achteraf plaats, als er bijvoorbeeld aanwijzingen zijn van een incident. Belangrijke aanbieders zijn vaak (middel)grote partijen. Een verstoring zal geen zeer ernstige maatschappelijke of economische gevolgen hebben. Alle aanbieders die onder de herziene richtlijn gaan vallen moeten veiligheidsmaatregelen gaan treffen. Dit wordt ook wel de ‘zorgplicht’ genoemd. Het verhogen van de beveiliging van de toeleveringsketen of het op orde brengen van de wijze van afhandeling van cyberincidenten, zijn voorbeelden van veiligheidsmaatregelen.  

Ontwikkeling in Nederland

Naar verwachting wordt de NIS2 richtlijn in de herfst van 2022 gepubliceerd. De Europese lidstaten hebben daarna 21 maanden de tijd om de richtlijn om te zetten in nieuwe of bestaande wet- en regelgeving. In Nederland wordt hiervoor de Wet Beveiliging Netwerk- en Informatiesystemen (WBni) aangepast. Dit zal medio 2024 gebeuren. Het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft in een webinar van de NEN aangegeven dat deze wet ook gaat gelden voor alle grote zorginstellingen. Dit was voorheen nog niet het geval. Een zorginstelling is groot wanneer zij meer dan 50 FTE en/of een omzet van 10 miljoen euro heeft. Het ministerie van VWS zal tijdens de herziening van de NEN 7510 er op aansturen dat deze wetten en normen elkaar niet bijten. 

Hulp nodig?

Voor certificatie is het belangrijk dat een organisatie voldoet aan de geldende wet- en regelgeving. Kan jouw organisatie hulp gebruiken bij het verkrijgen van inzicht op dit vlak? Onze ervaren consultants helpen je graag!  

Contact

Bronnen: Rijksoverheid, Europees Parlement, Kamer van Koophandel

NIS