Beheer

Governance
Wetgeving

Definitieve tekst van verreikende Europese securitywet NIS2 gepubliceerd

Strengere securityregels gaan over drie weken in.

28 december 2022

Strengere securityregels gaan over drie weken in.

Het Europees Parlement heeft de definitieve tekst van de nieuwe NIS2-wetgeving gepubliceerd. Met de nieuwe wetgeving komen er strengere beveiligingsregels voor diverse organisaties; veel meer dan voorheen. Deze verreikende wet gaat over drie weken al in.

Binnen de Europese Unie geldt sinds 2016 de NIS, een cybersecuritywet voor netwerk- en informatiesystemen. De wetgeving geldt specifiek voor essentiële bedrijven, zoals organisaties in de gezondheidszorg en waterbedrijven. Maar vanaf 16 januari treedt de NIS2 in werking, wat een aanscherping is op de oudere regels mét daarbij breder bereik.

Ook ICT-aanbieders

Met de nieuwe wetgeving - die in november is goedgekeurd door leden van het Europees Parlement - worden meer organisaties als essentieel aangemerkt. Het gaat bijvoorbeeld om de ruimtevaart, openbaar bestuur en de digitale infrastructuur. Daarnaast gaan de nieuwe regels gelden voor zogenoemde "belangrijke sectoren", zoals postdiensten, afvalbeheer, chemicaliën, levensmiddelen, de productie van medische apparatuur en ook aanbieders van ICT-producten en -diensten. De regels gelden voor alle middelgrote en grote ondernemingen in deze sectoren.

Maar de NIS2 brengt niet alleen een uitbreiding van het aantal sectoren waarvoor de regels gelden. Ook worden de beveiligingseisen voor alle gedekte bedrijven aangescherpt. Zo bevat de wetgeving voorschriften voor het handhaven van basale computerhygiëne, het trainen van werknemers, het gebruik van cryptografie, asset management, toegangscontrole en beleid en procedures in het geval van incidenten en crises. De bedoeling is dat het Nationale Cyber Security Centrum (NCSC) hier toezicht op houdt en organisaties helpt bij het voldoen aan de eisen. 

Gelijktrekken regels in EU-landen

Tot slot heeft de NIS2 als doel om regelgeving in verschillende lidstaten meer te harmoniseren. Landen hebben onder de eerste NIS namelijk eigen regels geïmplementeerd voor hun eigen gebied, waardoor er een wildgroei aan hele specifieke regels is ontstaan. Onder de NIS2 moeten Europese lidstaten echter verplicht een nationale cybersecuritystrategie opstellen.

De Nederlandse cybersecuritystrategie is afgelopen oktober al gepresenteerd. Experts reageerden hier tegenover AG Connect vooral positief op, onder meer omdat de focus met de strategie niet alleen om cyberweerbaarheid gaat, maar ook om de aanpak van oorzaken voor cybercrime. “Dit plan durft te zeggen: we hebben een snelweg, maak er gebruik van, je zou niet continu af moeten vragen of de vangrails wel sterk genoeg zijn of dat de stoplichten het wel doen", aldus ESET Nederland-directeur Dave Maasland destijds.

Tijd voor nationale implementatie

De nieuwe NIS2 wordt op 16 januari 2023 van kracht binnen de Europese Unie. Europese lidstaten zijn vanaf dan verplicht om op basis van de verordening een eigen, wettelijke implementatie op te zetten die voor hun land geldt. De landen krijgen hier 21 maanden de tijd voor.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.