Nieuwe richtlijn cyberbeveiliging (NIS 2.0) voorgesteld

Cyberrisico’s nemen toe vanwege digitale transformatie

Door de digitale transformatie van de maatschappij (versterkt door de COVID-19-crisis) is het bedreigingslandschap uitgebreid en ontstaan er nieuwe uitdagingen, die aangepaste en innovatieve reacties vereisen. Nu kan elke verstoring, zelfs één die aanvankelijk beperkt bleef tot één entiteit of één sector, een kettingreactie op grotere schaal teweegbrengen. Met mogelijk verstrekkende en langdurige negatieve gevolgen voor de dienstverlening in de gehele markt.

Om deze uitdagingen het hoofd te bieden is de herziening van de richtlijn versneld naar eind 2020, een effectbeoordeling uitgevoerd en een nieuw wetgevingsvoorstel ingediend. Zoals de Commissie eerder aankondigde in de mededeling ‘Shaping Europe's Digital Future’.

Belangrijkste elementen van de richtlijn cyberbeveiliging, NIS 2.0

Het voorstel van de Commissie breidt het toepassingsgebied van de huidige richtlijn, inzake netwerk- en informatiebeveiliging, uit. Dit doen ze door nieuwe sectoren toe te voegen en de invoering van een duidelijke bovengrens voor de omvang.

Het voorstel bevat ook:

1. Het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten wordt opgeheven.
2. Het verscherpt de beveiligingseisen voor bedrijven door het opleggen van een aanpak voor risicobeheersing, met een lijst van minimale basisbeveiligingselementen die toegepast moeten worden.
3. De invoering van meer precieze bepalingen inzake de procedure voor incidentenmelding, de inhoud van de meldingen en de termijnen. Entiteiten moeten elkaar en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte brengen van belangrijke cyberincidenten en -dreigingen.
4. Strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhavingsvereisten en harmonisatie van sanctieregelingen en rapportageverplichtingen in de lidstaten.
5. Ook stelt de Commissie voor om de veiligheid van toeleveringsketens en relaties met leveranciers aan te pakken. Door individuele bedrijven te verplichten cyberbeveiligingsrisico's in toeleveringsketens en relaties met leveranciers aan te pakken.

Voor welke sectoren geldt deze richtlijn?

Het gaat om: energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie, en digitale aanbieders.

Hoe gaat het nu verder met de NIS 2-richtlijn?

Over het voorstel wordt onderhandeld door de medewetgevers, met name de Raad van de EU en het Europees Parlement. Zodra er overeenstemming is over het voorstel en deze is goedgekeurd, moeten de EU-lidstaten de NIS 2-richtlijn binnen 18 maanden omzetten. De Commissie moet de NIS 2-richtlijn periodiek evalueren en 54 maanden na de inwerkingtreding voor het eerst verslag uitbrengen over de evaluatie. De Europese Commissie kijkt uit naar de tenuitvoerlegging van de nieuwe cyberstrategie in de komende maanden.

Valt uw bedrijf in één van de genoemde sectoren?

Neem contact met ons op, om te weten te komen wat de gevolgen voor uw bedrijf zijn. Het Cyber risk team van Grant Thornton is ervaren in het samenwerken met cliënten om hun strategische doelstellingen te bereiken en te voldoen aan wettelijke vereisten. Ons team heeft uitgebreide ervaring op het gebied van IT, Cyber, Risk management en Audit & assurance diensten.