Timelex
Éminent cabinet belge d’avocats
Menu

Naar een hernieuwde EU-Cybersecuritystrategie met NIS2

Author info
Niels Vandezande
Niels Vandezande
21/03/2023
Cybersecurity

In december 2022 is een nieuwe richtlijn aangenomen om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te waarborgen. Richtlijn (EU) 2022/2555, ook bekend als de NIS2-richtlijn, trekt de voormalige Richtlijn (EU) 2016/1148 inzake de beveiliging van netwerk- en informatiesystemen - ook bekend als de NIS1-richtlijn - in en vervangt deze. In deze blogpost belichten we de belangrijkste wijzigingen aan dit kader en kaderen we de nieuwe richtlijn in de bredere cybersecuritystrategie van de EU.

ACHTERGROND

STERKE TOENAME VAN CYBERINCIDENTEN 

De NIS1-richtlijn werd in 2016 aangenomen en moest uiterlijk op 9 mei 2018 door de lidstaten zijn omgezet. Dat proces werd pas in 2019 afgerond, omdat sommige lidstaten de termijn niet haalden. 

Op het gebied van cybersecurity is er sindsdien veel gebeurd. Er wordt geschat dat 22% van de EU-ondernemingen in 2021 te maken heeft gehad met ICT-gerelateerde beveiligingsincidenten. Ransomware-aanvallen stegen in 2022 met 41%. De wereldwijde gemiddelde kosten van een datalek werden in 2022 geraamd op 4,35 miljoen dollar - in de gezondheidszorg zelfs tot 10,1 miljoen dollar. De wereldwijde kosten van cybercriminaliteit werden eind 2020 geschat op 5,5 biljoen euro.

Tegelijkertijd leiden de toenemende verwevenheid van alle lagen en sectoren van de samenleving en de groei van telewerken na de COVID-19-pandemie tot een steeds grotere afhankelijkheid van netwerk- en informatiesystemen. Dit onderstreept de noodzaak van krachtig beleid op het gebied van cybersecurity. 

WAARIN SCHOOT NIS1 TE KORT?

Bij de herziening van de NIS1-richtlijn bleek echter dat dit kader in verschillende opzichten niet aan de beoogde doelstellingen voldeed:

  1. Ten eerste liet de richtlijn de lidstaten te veel vrijheid om te bepalen wat een verstrekker van essentiële diensten is. Zo hebben sommige lidstaten bepaalde ziekenhuizen als essentiële diensten aangewezen, terwijl andere dat niet deden. Een grote spoorwegexploitant in één lidstaat werd als essentieel aangemerkt, maar een exploitant van vergelijkbare omvang in een andere lidstaat niet. Dit leidt tot ongelijkheid, aangezien sommige entiteiten de operationele kosten van de naleving van dit kader moeten dragen, terwijl soortgelijke entiteiten in andere landen dat niet doen. Omgekeerd betekent het ook dat sommige entiteiten beter voorbereid zullen zijn in hun cyberweerbaarheid, terwijl andere dat niet zijn. 
  2. Ten tweede is het effectief delen van informatie nooit echt van de grond gekomen onder NIS1. De richtlijn legde geen duidelijke eisen op om informatie over bedreigingen of kwetsbaarheden te delen en slaagde er niet in de entiteiten ervan te overtuigen dit in de praktijk te doen. 
  3. Ten derde liepen toezicht en handhaving van lidstaat tot lidstaat sterk uiteen en was de afdwinging in sommige lidstaten ronduit inefficiënt. 

Na afweging van een aantal verschillende beleidsopties besloot de Europese Commissie tot volledige intrekking en vervanging. De NIS2-richtlijn werd eind 2020 voorgesteld en in december 2022 aangenomen. Deze moet uiterlijk op 17 oktober 2024 door de lidstaten worden omgezet en wordt de dag nadien van toepassing. 

WAT IS ER NIEUW ONDER NIS2?

VAN NETWERK- EN INFORMATIEBEVEILIGING NAAR CYBERBEVEILIGING

NIS2 is geen volledig nieuw kader. De aanpak van de NIS1-richtlijn wordt grotendeels gehandhaafd, maar met een aangescherpt toepassingsgebied en enkele nieuwe verplichtingen. Ook wat het algemene toepassingsgebied betreft, is het accent verschoven van "netwerk- en informatiebeveiliging" naar "cyberbeveiliging". Dit is belangrijk, aangezien cyberbeveiliging - zoals gedefinieerd in de Cyberbeveiligingsverordening - ook betrekking heeft op "de gebruikers van dergelijke systemen en andere personen die door cyberdreigingen worden getroffen".

ACCENT OP ESSENTIËLE EN BELANGRIJKE ENTITEITEN

Wat de onderworpen entiteiten betreft, zijn kleine en micro-ondernemingen in de meeste gevallen van NIS2 uitgesloten. Het accent is verlegd naar essentiële en belangrijke entiteiten, zoals beschreven in de bijlagen 1 en 2 bij de richtlijn. Deze lijst is aanzienlijk uitgebreid ten opzichte van NIS1. 

Nieuw als essentieel aangemerkte entiteiten zijn onder meer:

  • elektriciteitsproducenten, 
  • waterstofexploitanten, 
  • fabrikanten van farmaceutische basisproducten, 
  • O&O-entiteiten, 
  • digitale infrastructuur (waaronder IXP's, DNS- en TLD-dienstverleners, datacenters, aanbieders van vertrouwensdiensten, enz.), 
  • overheden, en 
  • exploitanten van ruimtevaartgrondfaciliteiten. 

Wat andere kritieke sectoren betreft, markeert NIS2:

  • post- en koeriersdiensten, 
  • afvalbeheer, 
  • chemicaliënproductie en -distributie, 
  • levensmiddelenbedrijven in de grootdistributie en industriële productie, 
  • productie van medische apparatuur, 
  • bepaalde machines en vervoersproductie, 
  • onderzoeksorganisaties en 
  • digitale aanbieders zoals online marktplaatsen, zoekmachines en sociale netwerken. 

MINIMUMVEREISTEN VOOR NATIONALE CYBERSECURITYSTRATEGIE

De lidstaten moeten nog steeds een nationale strategie aannemen. In NIS2 worden de minimumeisen voor een dergelijke strategie duidelijker uiteengezet, waardoor er minder ruimte voor interpretatie is dan onder NIS1. 

Nieuw is dat de lidstaten ook autoriteiten moeten aanwijzen die verantwoordelijk zijn voor het nationale beheer van grootschalige cyberbeveiligingsincidenten en -crisissen (cybercrisisbeheersautoriteiten). Ook hun taken worden duidelijk omschreven. Voorts wordt in NIS2 de verplichting voor de autoriteiten van de lidstaten om te coördineren en met elkaar samen te werken duidelijker uitgewerkt. 

Op EU-niveau houdt NIS2 de Samenwerkingsgroep (Cooperation Group) in stand, met steun van de Europese Commissie en ENISA - dat nu is aangewezen als EU-agentschap voor cyberbeveiliging. Ook de nationale autoriteiten voor cybercrisisbeheer krijgen een EU-platform: EU CyCLONe. Nieuw is dat de lidstaten hun nationale beleid ter collegiale toetsing kunnen voorleggen. 

VERANTWOORDELIJKHEDEN VOOR HET MANAGEMENT

Wat risicobeheer betreft, legt NIS2 een grotere verantwoordelijkheid bij het management van de onderworpen entiteiten. Zij moeten een opleiding volgen en kunnen aansprakelijk worden gesteld voor inbreuken op dit kader. 

Dit zorgt ervoor dat het hoger management een directe belanghebbende wordt bij de naleving van de cyberbeveiligingsvoorschriften van hun organisatie, en dat zij meer geneigd zullen zijn daarvoor voldoende budgetten beschikbaar te stellen. 

RISK-BASED AANPAK MET DUIDELIJKERE MINIMUMELEMENTEN

NIS2 handhaaft de risicogebaseerde aanpak van NIS1, maar werkt de minimumelementen daarvan duidelijker uit. Zoals voorheen moeten belangrijke incidenten aan de CSIRT's worden gemeld. NIS2 stelt duidelijker termijnen vast voor het tijdstip waarop die kennisgeving moet plaatsvinden, en kan ook voorschrijven dat de afnemers van de betrokken diensten in kennis moeten worden gesteld indien zij nadelige gevolgen kunnen ondervinden. 

VERSTRENGDE HANDHAVING

Wat toezicht en handhaving betreft, worden in NIS2 de bevoegdheden van de autoriteiten op dit gebied duidelijker geformuleerd, evenals de maatregelen die zij kunnen nemen. Wat de boetes betreft, legt NIS2 bepaalde drempels op, waardoor de boetes in de hele EU beter geharmoniseerd zijn. 

ER IS MEER OP VLAK VAN CYBERSECURITY NAAST NIS2

ANDERE RELEVANTE CYBERSECURITY INSTRUMENTEN

Sinds NIS1 zijn diverse andere teksten op het gebied van cybersecurity aangenomen. 

Eén tekst is de Cyberbeveiligingsverordening, waarbij ENISA wordt aangewezen als EU-agentschap voor cyberbeveiliging en een EU-brede certificeringsregeling wordt ingesteld voor ICT-producten, -diensten en -processen. 

Nauw verbonden met NIS2 is de nieuwe richtlijn inzake de veerkracht van kritieke entiteiten (CER-richtlijn), die meer gericht is op de fysieke beveiliging van essentiële entiteiten - terwijl NIS2 gericht is op hun cyberbeveiliging. 

EIGEN CYBERBEVEILIGINGSKADER VOOR SPECIFIEKE SECTOREN

Ook specifieke sectoren kunnen hun eigen cyberbeveiligingskader vaststellen, dat is toegespitst op de behoeften en uitdagingen van die sector. In die zin fungeert NIS2 als lex generalis op het gebied van cyberbeveiliging, terwijl sectorspecifieke teksten als lex specialis kunnen dienen. 

Een voorbeeld van zo'n sectorspecifieke tekst is de verordening betreffende de digitale weerbaarheid van de financiële sector (DORA). Deze tekst legt specifieke eisen op aan 21 soorten gereglementeerde financiële entiteiten, alsook aan de externe ICT-dienstverleners waarop zij een beroep doen. 

CONCLUSIE: MEER ORGANISATIES ZULLEN HUN CYBERBEVEILIGING MOETEN PROFESSIONALISEREN

  • NIS2 is een welkome vernieuwing van het EU-kader voor cybersecurity. Het is bedoeld om de belangrijkste tekortkomingen van zijn voorganger aan te pakken, maar is ook meer gericht op nieuwe en zich steeds ontwikkelende cyberdreigingen. 
  • De richtlijn handhaaft de algemene aanpak van NIS1 - met aangescherpte eisen en een ruimer toepassingsgebied - en zou daarom voor de meeste entiteiten niet al te verrassend mogen zijn. 
  • Niettemin zal de uitbreiding van het toepassingsgebied betekenen dat een hele reeks nieuwe entiteiten hun cyberbeveiligingsnaleving op orde moeten krijgen. 

Heeft u vragen over de cybersecurity compliance van uw organisatie? Neem dan contact op met Timelex.

Related posts