Nieuwe Europese richtlijn NIS2: strengere eisen cybersecurity

Aandachtspunten voor bedrijven

Lidstaten van de Europese Unie (EU) hebben tot september 2024 de tijd om de nieuwe ‘Network and Information Security’-richtlijn - NIS2 - te implementeren. Deze richtlijn brengt een aantal belangrijke wijzigingen op het gebied van cybersecurity met zich mee. Zo worden de eisen voor handhaving van de regels aangescherpt en zullen sancties in de hele EU gelden. Ook breidt NIS2 het toepassingsgebied uit naar bedrijven en organisaties in nieuwe sectoren. Bedrijven en organisaties waarop de richtlijn van toepassing is, moeten adequate maatregelen nemen op gebieden zoals cyberrisicobeheer, penetratietesten, ‘incident response’ en herstel. Wie niet aan NIS2 voldoet, loopt het risico op financiële sancties die gebaseerd zijn op de wereldwijde omzet van bedrijven.

NIS2-richtlijn

De NIS2-richtlijn reguleert bedrijven en overheden op het gebied van cyber- en informatiebeveiliging. De richtlijn wordt vertaald in nationale uitvoeringsbesluiten en fungeert als bindende wet: bedrijven en organisaties die binnen de reikwijdte vallen, moeten voldoen aan de vereisten. NIS2 breidt niet alleen de vereisten aan cybersecurity en sancties bij niet-naleving uit om het beveiligingsniveau in de lidstaten te harmoniseren en te stroomlijnen, maar komt ook met strengere eisen voor verschillende sectoren. Bedrijven en organisaties krijgen onder meer te maken met aanvullende eisen voor cyberrisicobeheer, controle en toezicht, ‘incident response’ en bedrijfscontinuïteit. Verder breidt de richtlijn ook het aantal organisaties in scope uit. In Nederland zal NIS2 ingaan per september 2024, met verwachte naleving vanaf het derde kwartaal van volgend jaar.

Meer organisaties geraakt door NIS2

De NIS2-richtlijn maakt onderscheid tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’ (zie tabel). Het belangrijkste verschil tussen de twee is dat belangrijke entiteiten lagere financiële sancties zullen krijgen en onderworpen zijn aan reactief toezicht van autoriteiten. Proactief toezicht is voorbehouden aan essentiële entiteiten. Dit betekent dat een belangrijke organisatie niet te maken krijgt met direct toezicht van regelgevers en autoriteiten, tenzij er een reden voor is. Denk aan een cyberincident of een rapport van externe organisaties zoals auditors of andere partijen in de supplychain.

De reikwijdte van sectoren is uitgebreid aangezien de Europese Commissie alle organisaties wil bestrijken die belangrijke functies in de samenleving vervullen. Dit betekent dat NIS2 ook van toepassing is op sectoren als voedselproductie, afvalbeheer en de gehele toeleveringsketen. ‘De focus van de NIS2-richtlijn ligt niet zozeer op hoe cyberincidenten tot een risico kunnen leiden voor uw organisatie of uw bedrijf kunnen schaden’, zegt PwC’s cybersecurity-expert Bram van Tiel, ‘maar hoe dergelijke incidenten de samenleving en het functioneren van andere bedrijven kunnen schaden of belemmeren. De reikwijdte gaat dus flink verder dan de traditionele kritieke infrastructuurorganisaties. In de energiesector bijvoorbeeld was de reikwijdte onder de huidige NIS-richtlijn beperkt tot bedrijven die energie produceren, leveren of balanceren in de elektriciteits- en aardgassector. Onder NIS2 verwachten we dat de toeleveringsketen - denk aan fabrikanten van windturbines en exploitanten van oplaadstations voor elektrische voertuigen - ook onder de vereisten vallen.’

Essentiële en belangrijke entiteiten per sector

Energie - levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten Essentieel                              
Transport via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten) Essentieel
Bankieren/financiën – krediet, handel, markt en infrastructuur Essentieel
Gezondheid - zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen Essentieel
Water - drinkwaterleveranciers en afvalwaterbeheerders Essentieel
Digitale infrastructuur en IT-diensten - DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten Essentieel
Openbaar bestuur - (centraal, regio's + lokaal optioneel) Essentieel
Space - exploitanten van infrastructuur op de grond Essentieel
Post- en koeriersdiensten aanbieders Belangrijk
Afvalbeheer Belangrijk
Chemische producten - productie en distributie Belangrijk
Voedsel - distributie en productie Belangrijk
Fabrikanten: medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen Belangrijk
Digitale aanbieders - online marktplaatsen, zoekmachines, sociale platforms Belangrijk
Onderzoeksorganisaties Belangrijk

NIS2-eisen aan organisaties

NIS2 stelt specifieke eisen aan beheer, risicobeheersing, bedrijfscontinuïteit en rapportage aan de autoriteiten. Bram van Tiel stipt de belangrijkste aandachtspunten aan:

‘De overheid brengt u niet op de hoogte als de richtlijn op uw bedrijf van toepassing is. Uw bedrijf moet zichzelf beoordelen op basis van de criteria die zowel branche-elementen als overwegingen van omvang omvatten. Als een bedrijf met een groot marktaandeel in een bepaalde sector ‘belangrijk’ is, kan deze vanwege zijn omvang zelfs als ‘essentieel’ worden beschouwd.

Het management in uw bedrijf moet bekend zijn met de eisen van de richtlijn en de risicobeheersingsinspanningen. Het krijgt de directe verantwoordelijkheid om ervoor te zorgen dat cyberrisico's worden geïdentificeerd en aangepakt, en dat aan de vereisten wordt voldaan.

De verhoogde vereisten voor risicobeheer en ‘resilience’ betekenen dat uw bedrijf risico's moet beheersen en zowel schadepreventie- als beperkingsmaatregelen moet implementeren die risico's en gevolgen verminderen. Adequate maatregelen worden bijvoorbeeld verwacht rondom incidentbeheer, cyberbeveiliging in toeleveringsketens, netwerkbeveiliging, toegangscontrole en encryptie.

Uw bedrijf moet nadenken over hoe het de bedrijfscontinuïteit waarborgt als het wordt getroffen door een groot cyberincident. Het gaat dan bijvoorbeeld om herstel van systemen, noodprocedures en het inrichten van een crisisorganisatie.

Tot slot moeten bedrijven processen hebben ingericht om te zorgen voor een correcte rapportage aan autoriteiten. Er is onder meer de harde eis dat grote incidenten binnen 24 uur worden gemeld.’

Financiële sancties

De NIS2-richtlijn breidt de sancties uit met AVG-achtige boetes op basis van de wereldwijde omzet. Deze boetes zijn gebaseerd op het feit of bedrijven onderdeel zijn van een essentiële entiteit of een belangrijke entiteit. En ze zijn gebaseerd op een minimum van tien miljoen euro of twee procent van de totale omzet, afhankelijk van wat het hoogste is voor essentiële entiteiten. Voor belangrijke entiteiten zijn boetes gebaseerd op een minimum van zeven miljoen euro of 1,4 procent van de omzet.

Verder geldt er persoonlijke en potentiële strafrechtelijke aansprakelijkheid voor personen op directieniveau als zij hun verplichtingen op grond van de richtlijn niet nakomen. Essentiële entiteiten kunnen doorlopend toezicht verwachten, zoals audits, rapportageverplichtingen en peerreviews. Belangrijke entiteiten kunnen toezicht, verplichte audits en rapportage verwachten als bij een organisatie regels niet worden nageleefd.

Stappenplan voorbereiding NIS2-richtlijn

Vanuit onze ervaring in het werken met bedrijven in de hele EU adviseren wij de volgende stappen:

  • beoordeel of u onder de NIS2-richtlijn zult vallen;
  • identificeer hiaten met betrekking tot de vereisten van de richtlijn;
  • stel vast welke maatregelen nodig zijn om aan de verplichtingen in het management te voldoen;
  • ontwerp een sterk cybersecurity-kader dat organisatorische en technische maatregelen omvat;
  • implementeer zowel organisatorische als technische maatregelen in uw bedrijf;
  • ontwerp en implementeer monitoringmechanismen om de effectiviteit van de maatregelen continu te valideren.

Contact us

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Dataprivacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Volg ons