Almere, 29 augustus 2023
Begin 2023 werd NIS-2 geïntroduceerd, de vernieuwde versie van de huidige Europese NIS-richtlijn. Deze richtlijn, bedoelt voor het versterken van de veiligheid van toeleveringsketens, dwingt bedrijven om de cyberveiligheidsrisico’s binnen hun toeleveringsketens en relaties met leveranciers te beheren.
Het uiteindelijke doel van NIS-2 is het versterken van de cyberbeveiliging van de toeleveringsketen voor essentiële informatie- en communicatietechnologieën op Europees niveau.
Wat vormt de ruggengraat van NIS-2?
Drie beveiligingspijlers vormen de grondslag van NIS-2:
- Identificatie van beveiligingsrisico’s;
- Risicobeperking door bescherming en detectie;
- Beperking van de impact van cyberincidenten.
Deze drie pijlers zijn momenteel de standaard voor beveiligingseisen in vitale sectoren. Naast de vitale sectoren, worden binnen de NIS-2 richtlijn voor een groot aantal belangrijke sectoren nu meer strengere eisen gesteld over cybersecurity. Handhaving daarop gebeurt door nationale autoriteiten.
De richtlijn is tevens van toepassing op leveranciers van cloudservices, oftewel Managed Service Providers zoals wij.
Welke acties moeten worden ondernomen?
De kern van NIS-2 ligt in het nemen van geschikte en evenredige technische, operationele en organisatorische maatregelen. Het doel hiervan is het beheer van de beveiliging van netwerk- en informatiesystemen en het voorkomen of minimaliseren van de impact van incidenten op de klanten van een potentieel getroffen bedrijf. Hierbij moet rekening worden gehouden met de huidige technologische standaarden en de relevante Europese en internationale normen, evenals de kosten van implementatie.
Waarom is het beheer van risico’s zo cruciaal?
De te nemen maatregelen dienen te zorgen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat in overeenstemming is met de potentiële risico’s. Bij de evaluatie van een maatregel moet rekening worden gehouden met de risico’s waarmee een organisatie te maken heeft, de omvang van de organisatie en de mogelijke maatschappelijke en economische gevolgen van een incident.
Wat is de tijdslimiet?
De nieuwe richtlijn werd gepubliceerd op 16 januari 2023. De Europese lidstaten hebben tot 17 oktober 2024 om de richtlijn de vertalen naar Nationale wetgeving. Op 18 oktober 2024 dient de richtlijn in werking te treden.
IT-beveiliging heeft altijd onze volledige aandacht en prioriteit genoten. We verwelkomen dergelijke richtlijnen en volgen ze nauwgezet om ervoor te zorgen dat we tijdig voldoen aan de vereisten van deze nieuwe richtlijn.