De implementatie van de nieuwe richtlijnen blijkt een complexer proces dan voorzien. Dit De inhoud van de brief, bescheiden getiteld 'Stand van zaken implementatie NIS2- en CER-richtlijnen', contrasteert met de ernst van de boodschap. Hoewel de titel een neutrale indruk wekt, duidt de inhoud op significante vertragingen in het omzetten van deze richtlijnen naar nationale wetgeving. Deze vertraging heeft geleid tot uitstel in de internetconsultatie van de voorgestelde Nederlandse wetgeving, wat weer verdere implicaties kan hebben. Dit domino-effect benadrukt de complexiteit en de uitdagingen die gepaard gaan met het vertalen van Europese richtlijnen naar nationale wetten.
De NIS2-richtlijn bouwt voort op de regelgeving van zijn voorganger, de oorspronkelijke NIS-richtlijn, die in 2016 werd aangenomen en zich richtte op exploitanten van essentiële diensten (zoals gezondheidszorg, vervoer en energie) en aanbieders van digitale diensten (zoals online zoekmachines, internetmarktplaatsen en clouddiensten). Dit was de eerste stap op weg naar een samenhangende strategie voor cyberbeveiliging in de hele Europese Unie.
NIS2 zal in oktober 2024 van kracht zijn, maar organisaties doen er goed aan om zich ruim van tevoren voor te bereiden.
Wat zijn de belangrijkste veranderingen waar bedrijven binnen de Europese Unie rekening mee moeten houden?
· De regels van NIS2 zijn niet alleen van toepassing op de leden van de EU, maar ook op organisaties buiten de EU die essentieel zijn binnen haar markt.
· De NIS2-richtlijn heeft nu betrekking op een breder scala aan bedrijfsentiteiten, waaronder aanbieders van openbare elektronische communicatienetwerken of -diensten, afvalwater- en afvalbeheer, fabrikanten van bepaalde kritieke producten (zoals farmaceutische producten, medische apparatuur en chemicaliën), post- en koeriersdiensten en meer
· NIS2-maatregelen hebben betrekking op tal van gebieden, waaronder respons bij incidenten, beveiliging van de supply chain, encryptie en openbaarmaking van kwetsbaarheden, adequate risicoanalyse, testen en auditen van cyberbeveiligingsstrategieën en crisismanagementplanning.
· NIS2 richt het Europees verbindingsnetwerk voor cybercrises op om samenwerking mogelijk te maken tussen nationale agentschappen en autoriteiten die belast zijn met cyberbeveiliging.
Wat zijn de specifieke nieuwe verplichtingen die door de richtlijn worden geïntroduceerd? En wat betekent dit voor jou? Leer NIS2 kennen met het uitgebreide e-book van ESET.