De NIS2-richtlijn is Europese wetgeving inzake cyberbeveiliging en voorziet maatregelen om het niveau van cyberbeveiliging in de EU te versterken.
De NIS1-richtlijn (2016) werd gemoderniseerd om de toenemende digitalisering en de opmars van de cyberdreiging het hoofd te bieden. De afgelopen jaren zetten COVID-19, de gevolgen van klimaatverandering, oorlogen en de toenemende cyberdreigingen, de veiligheid van de maatschappij onder druk.
Er werd dan ook gewerkt aan een richtlijn die sinds begin 2023 van kracht werd. De overheden hebben nu tot oktober 2024 om deze richtlijn om te zetten naar nationale wetgeving.
Deze richtlijn focust op het beheersen van digitale risico’s voor netwerk- en informatiesystemen. Zo werden nieuwe sectoren gevat onder het toepassingsgebied van de richtlijn en verhoogt het de responscapaciteit voor incidenten van de EU (zowel van publieke als particuliere entiteiten en de bevoegde autoriteiten).
De richtlijn voorziet onder meer in:
- Nieuwe initiatieven lanceren en lidstaten verplichten om snel in te grijpen bij (potentiële) incidenten door onder meer de oprichting van een Computer Security Incident Response Team (CSIRT) en een bevoegde nationale netwerk- en informatiesystemenautoriteit (NIS);
- Samenwerking tussen de lidstaten: een samenwerking tussen alle lidstaten, door de oprichting van een NIS samenwerkingsgroep ter ondersteuning en vergemakkelijking van de uitwisseling van informatie onder de lidstaten;
- de uitbreiding tot nieuwe sectoren die van belang zijn voor de samenleving en die in grote mate afhankelijk zijn van ICT-toepassingen. Denk hierbij aan aanbieders van essentiële diensten (cloudcomputing, zoekmachines,…) in de sectoren van energie, vervoer, water, bankieren, financiële-marktinfrastructuren, gezondheidszorg en digitale infrastructuur.
Deze richtlijn stelt in dit kader strengere beveiligingsnormen en meldingsvereisten voor incidenten aan de toezichthoudende autoriteiten voorop. In ieder geval, moet een incident binnen de 24 uur worden gemeld. Deze termijn is kort (korter dan onder de AVG-wetgeving). Of een incident meldingswaardig is, hangt onder meer af van het aantal personen dat door de verstoring is geraakt, de duur en de mogelijke financiële gevolgen ervan.
Ondernemingen wachten dus best niet al te lang om de eerste stappen te zetten. Indien u nu al stappen neemt om uw onderneming te beveiligen tegen bestaande risico’s, bent u gegarandeerd ook beter voorbereid op de komst van de nieuwe wetgeving.
Zo’n voorbereiding begint met een risicoanalyse waarin de belangen, dreigingen en de huidige weerbaarheid van uw organisatie worden bekeken. Op basis hiervan kunnen op basis van de gevonden risico’s duidelijke keuzes worden gemaakt.
Heeft u bijkomende vragen? Contacteer Mint Advocaten.