Nieuw in cyberbeveiliging: beveiliging van netwerk- en informatiesystemen .De NIS2-richtlijn : u nog onbekend?

Komt ook uw organisatie in het vizier?

Richtlijn 2022/2555 van 14/12/2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 oftewel de “NIS2-richtlijn”, is de opvolger van de NIS1-richtlijn uit 2016. Deze NIS1-richtijn werd naar Belgisch recht omgezet via de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid. De Belgische wetgever heeft nu tot 14/10/2024 de tijd om de NIS2-richtlijn om te zetten naar Belgisch recht. In deze bijdrage bieden wij u een overzicht van de belangrijkste vernieuwingen die deze NIS2-richtlijn met zich meebrengt.

Waarom NIS-wetgeving?

NIS staat voor “Network and Information Security” en heeft tot doel cyberbeveiliging in de Europese Unie op te bouwen, de bedreigingen voor netwerk- en informatiesystemen die worden gebruikt voor essentiële diensten in belangrijke sectoren te beperken en de continuïteit van dergelijke diensten te waarborgen wanneer zij worden geconfronteerd met incidenten, en aldus bij te dragen tot de veiligheid van de Europese Unie. De NIS-wetgeving doet dit door 1) nationale overheden te verplichten om voldoende aandacht aan cybersecurity te spenderen, 2) de samenwerking tussen cybersecurity autoriteiten op EU-niveau te versterken en 3) de belangrijkste operatoren in de belangrijkste sectoren van onze samenleving verplichten om veiligheidsmaatregelen te nemen en incidenten te melden. Deze wetgeving is er kortweg gezegd aldus op gericht om de cyberveiligheid van essentiële bedrijven en diensten zo veel mogelijk te garanderen.

Verruiming toepassingsgebied

Een van de belangrijkste wijzigingen van de NIS2-Richtlijn is de uitbreiding van het toepassingsgebied. Zo zal een voorafgaande identificatie door de bevoegde nationale autoriteiten van de betrokken entiteiten niet langer noodzakelijk zijn om onder het toepassingsgebied te vallen. Een organisatie zal bijgevolg automatisch binnen het toepassingsgebied vallen wanneer zij actief is in een van de sectoren zoals opgelijst in de bijlagen van de richtlijn en indien zij van een bepaalde grootte is. Belangrijk hierbij is dat de NIS2-Richtlijn ook tal van nieuwe sectoren aan het toepassingsgebied toevoegt, zoals bijvoorbeeld internetproviders en leveranciers van digitale services.

Leverancier-assessment

Een belangrijk principe van de NIS-wetgeving is het risicomanagement. De NIS2-richtlijn voorziet onder andere dat de betrokken organisaties beveiligingsrisico’s in hun toeleveringsketen moeten aanpakken. Er dienen met andere woorden de nodige audits van de eigen leveranciers te gebeuren. Zo zullen bepaalde organisaties die niet onder de NIS2-richtlijn vallen, alsnog verplicht kunnen zijn de hierin vervatte maatregelen na te leven, met name wanneer zij als leverancier optreden van een organisatie die wel onder het toepassingsgebied valt. De NIS2-richtlijn voorziet daarnaast in een meldplicht voor beveiligingsincidenten. Intern dienen dus de nodige procedures te worden opgesteld.

Sancties en aansprakelijkheid

De NIS2-richtlijn voorziet in strengere toezichtsmaatregelen voor de nationale autoriteiten, alsook in maatregelen om de samenwerking tussen de toezichthoudende autoriteiten van de lidstaten te verbeteren. Ook voorziet de NIS2-richtlijn in strengere sancties. Zo zullen boetes of administratieve sancties kunnen worden opgelegd tot een maximum van 10 miljoen euro. Bestuursleden van de betrokken organisaties kunnen in bepaalde gevallen bovendien persoonlijk aansprakelijk worden gehouden.

Besluit

De NIS2-richtlijn is te beschouwen als een extra beschermingslaag, dit boven op de bestaande GDPR-wetgeving. De NIS2-richtlijn gaat immers verder en heeft niet louter betrekking op de bescherming van persoonsgegevens.

Elke organisatie die zich binnen het toepassingsgebied van NIS2-richtlijn situeert, neemt dus best reeds de nodige voorbereidende maatregelen om te voldoen aan deze nieuwe wetgeving. Enkel op die manier kunnen onaangename verrassingen worden vermeden op het moment dat de NIS2-richtlijn dient te worden omgezet naar nationaal recht.

Indien u vragen heeft over dit thema, aarzel niet en contacteer ons.

Tom DAEMS

Advocaat - Junior Partner

Master in de Intellectuele Rechten en ICT-recht K.U. Leuven

DEHAESE & DEHAESE Advocatenkantoor