Ontmaskering van NIS2: Europa’s geheime wapen tegen cyberbeveiligingsbedreigingen – Het laatste hacknieuws

Nu de cyberdreigingen blijven toenemen, is Europa, met zijn sterk gedigitaliseerde economie, een belangrijk doelwit geworden. Het aantal cyberaanvallen op Europese bedrijven is zelfs tot ongekende hoogten gestegen, met een toename van 108% in aanvallen op belangrijke sectoren sinds 2020. Om deze alarmerende trend tegen te gaan, heeft het Europees Parlement NIS2 geïntroduceerd, een nieuwe richtlijn inzake cyberbeveiliging die de cyberweerbaarheid van de Unie moet vergroten.

NIS2 brengt strengere eisen en een hernieuwde nadruk op risicobeheer en reactie op incidenten, waardoor de manier waarop EU-bedrijven cyberbeveiliging aanpakken voorgoed verandert. In deze blogpost duiken we in de verstrekkende gevolgen van NIS2 voor de Europese cyberbeveiliging en bieden we essentiële inzichten om bedrijven te helpen zich aan te passen en te gedijen in dit nieuwe regelgevingslandschap.

Uitpakken van de NIS2-richtlijn

NIS2, kort voor Network and Information Security Directive, is een nieuwe EU-richtlijn inzake cyberbeveiliging die tot doel heeft de cyberbeveiliging in de Europese Unie te verbeteren. De richtlijn is aangenomen en in werking getreden op 16 januari 2023 en bevat nieuwe cyberbeveiligingseisen voor organisaties die zijn gecategoriseerd als kritieke infrastructuur.

Voortbouwend op zijn voorganger NIS1, die in 2016 werd aangenomen, breidt NIS2 het toepassingsgebied uit tot sectoren als energie, vervoer, gezondheidszorg, financiën, openbaar bestuur, watervoorziening en nog veel meer. Terwijl de vorige richtlijn zich alleen richtte op zogenaamde essentiële diensten en digitale dienstverleners, maakt NIS2 een einde aan dit onderscheid en verdeelt het in plaats daarvan de betrokken entiteiten in twee categorieën: essentiële entiteiten en belangrijke entiteiten, waarbij de omvang, de maatschappelijke functie/sector en de jaarlijkse omzet de beslissende factor is voor de vraag of NIS2 van toepassing is op een bepaalde organisatie.

Bovendien versterkt NIS2 de eisen inzake risicobeheer, rapportage van incidenten en samenwerking tussen EU-lidstaten bij cyberincidenten. In het algemeen betekent NIS2 een belangrijke stap voorwaarts in de EU-regelgeving inzake cyberbeveiliging, en organisaties die onder het toepassingsgebied ervan vallen, dienen kennis te nemen van de nieuwe voorschriften om de naleving ervan te waarborgen.

Hoe NIS2 de EU-cyberbeveiliging zal beïnvloeden

NIS2 zal een aanzienlijke impact hebben op de cyberbeveiliging in de EU doordat het vergaande beveiligingsmaatregelen voorschrijft om het risicobeheer en de reactie op incidenten te verbeteren, het regelgevend toezicht versterkt en een ongekend element van verantwoordingsplicht van het management introduceert. NIS2 zal de EU-cyberbeveiliging onder meer op de volgende manieren veranderen:

Nieuwe cyberbeveiligingseisen voor bedrijven:

• NIS2 introduceert een kernset van 10 minimummaatregelen die organisaties moeten implementeren om risico’s te beheren, waaronder maatregelen als toegangscontrole, incidentenbeheer en bedrijfscontinuïteitsbeheer.
• Bedrijven zijn verplicht due diligence uit te voeren op de beveiliging van toeleveringsketens om ervoor te zorgen dat derde leveranciers ook voldoen aan de NIS2-beveiligingsnormen.
• Binnen 24 uur na een incident moeten alarmmeldingen worden ingediend.

Meer aandacht voor risicobeheer en reactie op incidenten:

• Bedrijven moeten incidentbestrijdingsplannen ontwikkelen die verschillende scenario’s bestrijken en regelmatig beveiligingsbeoordelingen uitvoeren om kwetsbaarheden en zwakke plekken vast te stellen.
• De melding van incidenten aan de bevoegde autoriteiten is verplicht en moet alle relevante informatie bevatten, zoals de omvang en de impact van het incident, de getroffen systemen en gegevens, en de maatregelen die zijn genomen om het incident in te dammen en te beperken.

Meer regelgevend toezicht en handhaving:

• De aangewezen nationale autoriteiten zullen verantwoordelijk zijn voor het toezicht op de naleving van de richtlijn door middel van audits en inspecties.
• De autoriteiten zullen bevoegd zijn om informatie op te vragen, onderzoek te verrichten en boetes of sancties op te leggen bij niet-naleving.

Persoonlijke aansprakelijkheid van beheersorganen:

• Beheersorganen, waaronder directeuren en senior managers, kunnen persoonlijk aansprakelijk worden gesteld voor cyberbeveiligingsincidenten die het gevolg zijn van hun nalatigheid om beveiligingsmaatregelen te treffen of adequaat te reageren op een cyberdreiging.
• Dit betekent dat zij aansprakelijk kunnen worden gesteld en juridische of financiële gevolgen kunnen ondervinden voor hun handelen of niet-handelen in verband met cyberbeveiliging.
• Het vereiste van persoonlijke aansprakelijkheid is bedoeld om beheersorganen aan te moedigen cyberbeveiliging serieus te nemen en prioriteit te geven aan de uitvoering van passende beveiligingsmaatregelen om de persoonsgegevens van EU-burgers te beschermen.

NIS2 en EU-bedrijven: Gevolgen en kansen

Het algemene effect van NIS2 op EU-bedrijven zal enorm zijn.

Met naar schatting 160.000 betrokken entiteiten in 15 verschillende sectoren, zullen kritieke infrastructuurorganisaties in heel Europa met deze nieuwe regelgevingsrealiteit moeten omgaan.

Bovendien moeten alle externe leveranciers die diensten aan deze organisaties leveren, ook aan de nieuwe eisen voldoen, waardoor het aantal betrokken bedrijven nog veel groter wordt. De ernst van deze belangrijke beleidswijziging wordt nog vergroot doordat directieteams gedwongen zullen worden cyberbeveiliging op de agenda van de raad van bestuur te zetten vanwege de ongekende invoering van de verantwoordingsplicht van het management, waardoor directieleden persoonlijk aansprakelijk worden gesteld voor niet-naleving.

Deze veranderingen zullen ongetwijfeld leiden tot een golf van investeringen in cyberbeveiliging, advies over compliance en relevante cyberbeveiligingsopleidingen, naarmate de raden van bestuur zich realiseren dat nalatigheid en niet-naleving van de regels mogelijk bedrijfskritische en juridische gevolgen hebben.

NIS2 zal een reality check zijn voor organisaties die tekort zijn geschoten in hun beveiliging. De richtlijn zal een nieuwe beveiligingsnorm inluiden die – indien op grote schaal toegepast – Europese bedrijven beter in staat zal stellen de vernietigende kracht van de cyberdreigingen van morgen te weerstaan.

Voorbereiding op NIS2

Ter voorbereiding op de naleving van NIS2 moeten Europese exploitanten van kritieke infrastructuur en leveranciers in hun toeleveringsketen eerst uitgebreide risicobeoordelingen uitvoeren. Dit zal helpen kwetsbaarheden en zwakke punten te identificeren die volgens de nieuwe NIS2-normen moeten worden aangepakt. Het zal ook inzicht geven in de effectiviteit van bestaande beveiligingsmaatregelen, een ander cruciaal element van de nieuwe eisen.

De lidstaten hebben tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. Dit geeft de betrokken organisaties 16 maanden de tijd om ervoor te zorgen dat hun cyberdefensie voldoet aan de eisen van de richtlijn.

Uniqkey, een in Denemarken gevestigde oplossing voor het beheer van bedrijfswachtwoorden, heeft de infosite nis2directive.eu gepubliceerd, die het publiek toegankelijke informatie over NIS2 biedt. De site bevat alle informatie die relevant is voor de NIS2-richtlijn, afkomstig van officiële, openbare bronnen en samengesteld voor eenvoudige consumptie. Ze bieden ook een praktische whitepaper over het onderwerp voor iedereen die op zoek is naar tastbare, tool-specifieke suggesties voor het bereiken van NIS2-conformiteit.

Als u een Europees bedrijf bent dat actief is in een van de 15 sectoren die onder de richtlijn vallen – of diensten verleent aan een dergelijke organisatie – is het essentieel om vertrouwd te raken met de vereisten van de richtlijn om de komende overgang naar regelgeving te overleven.