NIS2-richtlijn

De NIS2-richtlijn is een EU-richtlijn die moet zorgen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie. De richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en verscherpt de beveiligingseisen, gaat in op de beveiliging van toeleveringsketens en introduceert geharmoniseerde sancties. De NIS2-richtlijn is eind 2022 goedgekeurd door het Europees Parlement en de Raad en is sinds 18 oktober 2024 van toepassing in de EU. De lidstaten moeten de richtlijn omzetten in nationale wetgeving.

NIS2 gaat voornamelijk in op eisen aan bedrijven:

Terwijl de NIS-richtlijn met name van toepassing was op kritieke infrastructuren en aanbieders van relevante digitale diensten, geldt de NIS2-richtlijn voor meer sectoren, waaronder de verwerkende industrie: machinebouw, fabrikanten van gegevensverwerkende apparatuur, elektronische en optische producten, elektrische apparatuur, motorvoertuigen en onderdelen daarvan en overige voertuigbouw. Binnen deze sectoren gaat het hierbij om bedrijven met meer dan 50 werknemers of een jaaromzet of -balans van meer dan 10 miljoen euro.

Om aan NIS2 te voldoen, moeten betrokken organisaties verschillende maatregelen nemen, waaronder:

• Risicobeheer: Implementatie van processen om risico’s te identificeren en te beoordelen.
• Beveiligingsmaatregelen: Invoering van technische en organisatorische maatregelen om risico’s te verminderen.
• Melden van incidenten: Vaststelling van procedures voor het melden van incidenten aan de bevoegde autoriteiten.
• Monitoring en audits: Regelmatige herziening en evaluatie van beveiligingsmaatregelen.

NIS2 wordt gehandhaafd door nationale autoriteiten in de EU-lidstaten, die verantwoordelijk zijn voor het toezicht op en de naleving van de richtlijn. In Duitsland is het Bundesamt für Sicherheit in der Informationstechnik (BSI) de bevoegde autoriteit.

Handhavingsmaatregelen:

1. Rapportageverplichtingen: Bedrijven moeten incidenten melden. NIS2 introduceert een drieledig rapportagesysteem om de transparantie en reactiesnelheid te verbeteren.
2. Toezichtsmaatregelen: Het Duitse Federale Bureau voor Informatiebeveiliging (BSI) heeft uitgebreide bevoegdheden om audits en inspecties uit te voeren om de naleving van beveiligingseisen te controleren.
3. Sancties: Bij niet-naleving van de richtlijn kunnen sancties worden opgelegd, die variëren afhankelijk van de ernst van de inbreuk.

Ondersteuning en advies:
Het BSI levert ondersteuning en advies aan betrokken bedrijven om de implementatie van NIS2 te vergemakkelijken. Bedrijven moeten proactief maatregelen nemen om hun IT-beveiliging te verbeteren en zich voorbereiden op de nieuwe vereisten. Het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) biedt veel nuttige informatie over cyberbeveiliging.

NIS2, de Cyber Resilience Act en de Machineverordening maken deel uit van een uitgebreid EU-regelgevingskader om de cyberbeveiliging en -weerbaarheid te versterken. Terwijl NIS2 gericht is op de beveiliging van netwerken, informatiesystemen en eisen op bedrijfsniveau, heeft de Cyber Resilience Act tot doel de cyberbeveiliging van producten met digitale elementen te verbeteren. De Machineverordening vult deze maatregelen aan met veiligheidseisen voor machines en industriële producten.

• Andere eisen op het gebied van Industrial Security (waaronder IEC 62443)
• Agentschap van de Europese Unie voor cyberbeveiliging (ENISA)