In 2016 deed de Europese Unie (EU) haar eerste poging om haar lidstaten te beïnvloeden om grip te krijgen op cyberbeveiliging. Dit initiatief leidde tot de richtlijn netwerk- en informatiebeveiliging (NIS-richtlijn), bedoeld om bedreigingen voor informatiesystemen en netwerken aan te pakken die de diensten, processen en gebruikers van de digitale economie kunnen verstoren. De richtlijn bevatte een overzicht van minimale veiligheidsmaatregelen waaraan aanbieders van digitale en essentiële diensten, zoals energie, banken, gezondheidszorg en watervoorziening, zich moesten houden.
Deze regelgeving had een positief effect op het cyberbeveiligingslandschap, stimuleerde investeringen en stelde fundamentele best practices op dit gebied vast. Er waren echter aanzienlijke lacunes die moesten worden aangepakt, met name het gebrek aan duidelijkheid over de wijze waarop de EU-lidstaten de praktijken in hun nationale wetgeving moeten omzetten, en de indeling van de ondernemingen die onder het toepassingsgebied vallen.
In wezen maakten de voorschriften van de oorspronkelijke NIS-richtlijn deel uit van een heel ander digitaal landschap dan het landschap dat organisaties nu voorgeschoteld krijgen. De consolidatie van externe en hybride werkmodellen heeft een perfect scenario gecreëerd voor slechte actoren om creatief te worden en het bereik van hun aanvallen en de aard van de entiteiten die het doelwit zijn uit te breiden.
Het bedreigingslandschap blijft zich ontwikkelen
Waren de jaren sinds de tenuitvoerlegging van de eerste NIS-richtlijn al zwaar voor IT- en beveiligingsteams, in het nieuwe decennium sinds Covid-19 zijn er een heleboel nieuwe uitdagingen bijgekomen. Als de veiligheidsvoorspellingen een indicatie zijn van wat we kunnen verwachten, staat ons een zware rit te wachten. Onlangs, tijdens de jaarlijkse bijeenkomst van het World Economic Forum (WEF) in Davos, Zwitserland, voorspelde een cyberbeveiligingsdeskundige van de Universiteit van Oxford een 'naderende cyberstorm'.
In een eerdere blog hebben we het gehad over het veranderende cyberbeveiligingsscenario, waarbij de toename van geavanceerde technologieën en geopolitieke crises belangrijke factoren waren in het wereldwijde cyberlandschap. Bovendien neemt het aantal cyberaanvallen in Europa gestaag toe, waardoor Europa voor de toekomst een veerkrachtigere richtlijn wil: een richtlijn die niet alleen een duidelijke basislijn voor risicobeheer bevat, maar ook financiële gevolgen voor non-compliance. Bedrijven kunnen een boete krijgen van 10 miljoen euro of 2% van de totale wereldwijde omzet van de organisatie – wat het hoogste is – wanneer NIS 2 van kracht wordt.
NIS 2: tijd om serieus te worden
De nieuwe versie van de Europese cyberbeveiligingsrichtlijn, NIS 2, is breder, duidelijker en waarschijnlijker toekomstbestendig. Het aantal sectoren dat onder het toepassingsgebied van de richtlijn valt, wordt uitgebreid van de oorspronkelijke 19 tot een uitgebreide 35, om rekening te houden met nieuwe sectoren die van cruciaal belang zijn voor de economie en de samenleving. Er is een 'size cap' opgenomen, zodat alle middelgrote en grote ondernemingen binnen de geselecteerde sectoren worden bestreken. De regels staan de lidstaten ook toe kleinere organisaties onder de paraplu van de verordening te laten vallen, indien deze als een hoog veiligheidsrisico worden aangemerkt.
In de praktijk gaat NIS 2 van het oorspronkelijke toepassingsgebied van energie, gezondheidszorg, vervoer, financiën, watervoorziening en digitale infrastructuur naar de productie van onder meer levensmiddelen en geneesmiddelen, afvalbeheer en postdiensten. Gebieden die voorheen over het hoofd werden gezien, zoals onderaannemers en externe dienstverleners, vallen ook onder de regelgeving. En net als bij de AVG en soortgelijke richtlijnen worden bedrijven die niet in de EU zijn gevestigd maar hun diensten binnen het blok aanbieden, geacht onder de jurisdictie van de richtlijn te vallen en aansprakelijk te zijn als er inbreuken zijn.
Met de bekendmaking van deze maatregelen in november vorig jaar en de termijn van 2024 om ze in te voeren, heeft de EU haar poging om de economie van haar lidstaten te beschermen tegen de zeer reële dreiging van escalerende cyberaanvallen opgevoerd. De verantwoordelijkheid voor dergelijke plannen ligt bij leidinggevenden en belanghebbenden, zowel in de particuliere als in de openbare sector. Er zal een ontegenzeggelijke drang zijn om systemen, processen, netwerken, apparaten en gebruikers in orde te brengen, en onderweg zal er veel onzekerheid zijn.
Volgende: sleutelelementen en best practices voor compliance
In deze blogreeks analyseren we wat NIS 2 betekent voor IT- en beveiligingsteams binnen de grenzen van de richtlijn. Wij zullen de reikwijdte en de gevolgen van de regelgeving onderzoeken, zowel vanuit het oogpunt van managers als van technische afdelingen. In de tussentijd is het wellicht de moeite waard op te merken dat de regels van toepassing zullen zijn op entiteiten die er reeds onder vallen, plus alle andere met meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen euro in de betrokken sectoren. In de volgende blogs gaan we na wat dit betekent voor jouw organisatie, inclusief de belangrijkste elementen waarop je je moet richten bij de toepassing van de NIS2-richtlijn en de best practices voor compliance.
op categorie:
Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.