NIS2-richtlijn treft duizenden bedrijven en overheidsinstellingen

Of het nu gaat om vervoer, energie, gezondheid of financiën – veel aspecten van ons dagelijks leven zijn in toenemende mate afhankelijk van digitale technologieën. Digitalisering biedt enorme mogelijkheden en oplossingen voor vele uitdagingen – van hybride onderwijs en hybride werken in tijden van pandemieën tot virtuele huisartsbezoeken. En ook voor burgerzaken zoals het aanvragen van paspoorten en ouderschapsuitkeringen of voor complexe controleprocessen in de waardeketen en logistiek. Kortom: internet is niet langer alleen om te surfen. Digitale infrastructuur en dataverkeer vormen de onmisbare basis om de samenleving en de economie te laten functioneren en zijn tegenwoordig essentieel voor veel overheidsdiensten.

Tegelijkertijd neemt het aantal cyberaanvallen in Europa gestaag toe. Ook ziekenhuizen, scholen en openbare instellingen zijn regelmatig het doelwit van cybercriminelen, in sommige gevallen met ernstige gevolgen. En nu er meer apparaten op het internet zijn aangesloten, is het risico ook groter dan ooit tevoren. Deze trend zal in de toekomst nog sterker worden – vooral gezien de geopolitieke spanningen.

Dat de EU nu de Europese cyberruimte veiliger wil maken met uniforme normen is een logische stap. De NIS2-richtlijn, die op 16 januari 2023 in werking is getreden, gaat veel verder dan de regelgeving inzake netwerk- en informatiebeveiliging, kortweg NIS, die sinds 2016 van kracht is. In de toekomst zullen tal van bijkomende sectoren en entiteiten als ‘essentieel’ of ‘belangrijk’ voor de economie en de samenleving worden beschouwd, ook openbare instellingen. Daarnaast zullen ook bedrijven met meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen euro onder de regelgeving vallen als zij cruciaal zijn.

Vanaf oktober 2024 – wanneer de richtlijn volledig in nationale wetgeving moet zijn omgezet – zullen alle ‘essentiële bedrijven’ aan bepaalde minimale cybersecurity-eisen voor hun systemen moeten voldoen. Deze omvatten concepten voor risicoanalyse, IT-beveiliging en toegangscontrole, alsook maatregelen om security-incidenten tegen te gaan en de bedrijfsvoering te waarborgen, met inbegrip van documentatie- en rapportageverplichtingen. De belangrijkste verandering is de mogelijkheid om sancties op te leggen. Bij niet-naleving kunnen managers en leidinggevenden persoonlijk aansprakelijk worden gesteld. Boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet liggen in het verschiet.

De EU maakt van cybersecurity dus een topprioriteit. En terecht, want er staat veel op het spel: digitale infrastructuur is van cruciaal belang. Veilige, betrouwbare informatiesystemen zijn een sleutelfactor voor de economische en strategische onafhankelijkheid van de EU. Uiteindelijk gaat het er ook om de soevereiniteit van Europa te versterken door een veilige digitale basis te creëren.

Voldoen aan de strengere cybersecurity-eisen zal echter niet eenvoudig zijn, vooral voor bedrijven die nog niet onder de regelgeving vallen. Met name kleinere bedrijven beschikken vaak niet over voldoende personeel en technische vaardigheden. Hetzelfde geldt voor bepaalde overheidsinstanties. Voor hen zal het nauwelijks mogelijk zijn om op eigen kracht tijdig aan de nieuwe eisen te voldoen.

Toch geeft de EU met NIS2 het juiste signaal af: gezien de toenemende geopolitieke onzekerheden en het vitale belang van een goed functionerende IT-infrastructuur voor onze samenleving, moet de beveiliging ervan een topprioriteit zijn. De voortrekkersrol die de EU nu op zich neemt door plannen op te stellen die voor de hele Unie gelden, is meer dan welkom.


Dit is een ingezonden bijdrage van Ralf Koenzen, oprichter en managing director van LANCOM Systems. Via deze link ontdek je meer informatie over de oplossingen van het bedrijf.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.