In januari 2023 is er een nieuwe versie van de Europese NIS richtlijn uitgebracht, genaamd NIS 2. Deze richtlijn is erop gericht de veiligheid van toeleveringsketens te verbeteren door individuele bedrijven te verplichten om cyber veiligheidsrisico’s in toeleveringsketens en leveranciersrelaties te gaan beheersen.
De NIS 2 heeft als doel de cyber beveiliging van de toeleveringsketen voor belangrijke informatie- en communicatietechnologieën op Europees niveau te versterken.
Wat zijn de pijlers van NIS 2?
De basis van NIS 2 zijn drie pijlers van beveiliging:
- Security risico’s in kaart brengen.
- Risico’s beperken door bescherming en detectie.
- De gevolgen van cyber incidenten beperken.
Momenteel vormen deze drie pijlers de basis van beveiligingseisen voor vitale sectoren. Onder de nieuwe eisen gaat het aantal bedrijven dat tot deze groep behoort flink stijgen. De richtlijn is eveneens van toepassing op leveranciers van cloudservices, zogenaamde Managed Service Providers zoals ICT Concept.
Welke maatregelen moeten genomen worden?
Het uitgangspunt van NIS 2 is het nemen van passende en evenredige technische, operationele en organisatorische maatregelen. Het doel van deze maatregelen is om de beveiliging van netwerk- en informatiesystemen te beheren, en om incidenten te voorkomen of de gevolgen van incidenten te beperken voor de klanten van een eventueel getroffen bedrijf. Hierbij moet rekening gehouden worden met de stand van de techniek en de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten.
Waarom is risicobeheersing zo belangrijk?
De maatregelen die genomen worden moeten zorgen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de potentiële risico’s. Bij de beoordeling van een te nemen maatregel moet rekening worden gehouden met de risico’s die een organisatie loopt, de omvang van de organisatie, en de mogelijke maatschappelijke en economische gevolgen van een incident.
Wat is dedeadline?
De nieuwe richtlijn is op 16 januari 2023 gepubliceerd en de Europese lidstaten hebben tot 17 oktober 2024 om de noodzakelijke bepalingen vast te stellen én bekend te maken om aan de richtlijn te voldoen. Op 18 oktober 2024 moet de richtlijn in werking gesteld zijn.
IT Security heeft altijd al onze hoogste aandacht en prioriteit gehad, dus de komst van dit soort richtlijnen wordt door ons toegejuicht, en tegelijkertijd op de voet gevolgd om te zorgen dat wij tijdig aan de vereisten van deze nieuwe richtlijn voldoen.
Dit artikel staat ook in Legal&Tech 6, het volledige magazine kunt u binnenkort hier downloaden.
