De Europese Unie heeft een nieuw speeltje, en dit keer is het geen regel over de kromming van bananen. NIS2 — de Network and Information Security Directive 2 — is de meest ambitieuze cybersecuritywetgeving die Europa ooit heeft geproduceerd. En het verschil met zijn voorganger is als het verschil tussen een waarschuwingsbrief en een dagvaarding.
Wat was er mis met NIS1?
De eerste NIS-richtlijn uit 2016 was een goedbedoelde maar tandenloze poging om cybersecurity te reguleren. Het probleem was drieledig: de scope was te beperkt (alleen "essentiële diensten" zoals energie en water), de handhaving was te zwak, en elke lidstaat mocht het op zijn eigen manier implementeren. Het resultaat was een lappendeken van regels waar niemand echt wakker van lag.
NIS2 is het antwoord op de vraag: "Wat als we het dit keer serieus doen?"
Wie valt eronder?
Hier wordt het interessant. NIS2 maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten, en de lijst is aanzienlijk uitgebreid:
Essentiële entiteiten (strengste regime):
- Energie (elektriciteit, gas, olie, waterstof)
- Transport (lucht, spoor, water, weg)
- Bankwezen en financiële marktinfrastructuur
- Gezondheidszorg
- Drinkwater en afvalwater
- Digitale infrastructuur (DNS, datacenters, cloud)
- Overheid
- Ruimtevaart
Belangrijke entiteiten (iets lichter regime):
- Post- en koeriersdiensten
- Afvalbeheer
- Chemie en voedselproductie
- Maakindustrie (medische apparatuur, elektronica, machines, voertuigen)
- Digitale dienstverleners (marktplaatsen, zoekmachines, sociale netwerken)
- Onderzoeksorganisaties
De vuistregel: bedrijven met meer dan 50 medewerkers of meer dan 10 miljoen euro omzet in deze sectoren vallen onder NIS2. Dat zijn naar schatting zo'n 160.000 organisaties in de EU. Als je er niet bij zit, gefeliciteerd. Als je er wél bij zit: blijf lezen.
Wat moet je doen?
NIS2 eist een reeks maatregelen die voor de meeste security-professionals herkenbaar zijn, maar nu dus wettelijk verplicht zijn:
- Risicoanalyse en beveiligingsbeleid — een gedocumenteerde aanpak voor het identificeren en beheersen van cyberrisico's
- Incidentafhandeling — procedures voor het detecteren, melden en afhandelen van incidenten
- Business continuity — backupbeheer, disaster recovery, crisisbeheer
- Supply chain security — beveiliging van de toeleveringsketen, inclusief leveranciersbeoordeling
- Kwetsbaarheidsbeheer — het opsporen en verhelpen van kwetsbaarheden
- Cyberhygiëne en training — basismaatregelen en bewustwording
- Cryptografie — beleid voor het gebruik van encryptie
- Toegangsbeheer — authenticatie, autorisatie, identity management
- Multi-factor authenticatie — expliciet genoemd als vereiste
De meldplicht: 24 uur
Bij een significant incident moet je binnen 24 uur een eerste melding doen bij de bevoegde autoriteit. Niet 72 uur zoals bij de AVG. Vierentwintig. Uur. Dat is midden in de nacht als het incident op vrijdagavond begint — en incidenten beginnen altijd op vrijdagavond.
Binnen 72 uur moet er een uitgebreidere beoordeling volgen, en binnen een maand een eindrapport. De consequentie hiervan is dat je nu al een incidentresponsplan moet hebben dat in minder dan een dag geactiveerd kan worden.
Persoonlijke aansprakelijkheid van bestuurders
En hier wordt het echt serieus. NIS2 bepaalt dat het management persoonlijk verantwoordelijk is voor het goedkeuren en toezicht houden op de cybersecuritymaatregelen. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als blijkt dat ze hun verplichtingen niet zijn nagekomen.
Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten. Voor belangrijke entiteiten is dat 7 miljoen of 1,4%. En in het ergste geval kan een bestuurder tijdelijk worden geschorst van zijn functie.
Cybersecurity is geen IT-probleem meer. Het is een bestuursprobleem. En de wet zegt dat nu ook.
De link met DORA
Als je in de financiële sector werkt, heb je te maken met zowel NIS2 als DORA (Digital Operational Resilience Act). DORA is de sectorspecifieke variant met nog strengere eisen voor de financiële sector. De twee vullen elkaar aan: NIS2 biedt het brede kader, DORA de diepte voor financiële instellingen.