Het Europese Parlement is eindelijk tot een definitieve wettekst gekomen voor de NIS 2-richtlijnen. Meer bedrijven komen nu op de lijst van ‘kritieke infrastructuur’ te staan.
Het heeft veel voeten in de aarde gehad, maar op 14 december publiceerde het Europese Parlement en de Raad van de Europese Unie de NIS 2-verordening. Het Parlement kwam eind 2020 al met een voorstel om het huidige NIS-kader dat dateert van 2016 te updaten. Twee jaar heeft het uiteindelijk dus geduurd om daarvoor een akkoord te bereiken onder de lidstaten en de wettekst op papier te zetten.
De NIS-richtlijn (Network and Information Systems) was de eerste aanzet tot een gezamenlijke cybersecuritystrategie op Europees niveau. De wet houdt onder meer in dat Europese lidstaten een nationaal defensieplan moeten uitwerken en legt aan bedrijven uit ‘kritieke infrastructuren’ strengere cybersecurityregels op. Anno 2016 bestond die lijst uit zeven sectoren: energie, vervoer, bankwezen, financiële markten, gezondheidszorg, drinkwater en digitale infrastructuur (cloud en zoekmachines).
Toepassingsgebied uitbreiden
De Europese Unie kwamt tot de conclusie dat de reikwijdte van NIS te beperkt was. De nieuwe richtlijnen voegen nieuwe sectoren toe aan de lijst van kritieke infrastructuren, waaronder telecom- en communicatiebedrijven, postdiensten en voedselproducenten. Zij moeten een cybersecurityplan uitwerken en voortdurend testen en binnen 24 tot 72 uur melding maken van incidenten in hun beveiliging.
lees ook
Europa zet met NIS2 een stap dichter richting striktere cybersecurityregels
Naast kritieke infrastructuren voegt de NIS 2-verordening ook de categorie ‘belangrijke bedrijven’ in. De normen zijn iets minder streng voor bedrijven die onder deze noemer vallen, maar voor hen geldt wel de rapporteringsplicht. NIS 2 omvat ook strengere richtlijnen omtrent het afhandelen van datalekken, risicomanagement en het gebruik van encryptie.
21 maanden tijd
De NIS 2-verodering zal twintig dagen na de publicatie van kracht gaan. Dan speelt de Europese Unie de bal door aan de lidstaten die de richtlijnen in de nationale wetgeving moeten gieten. Daar krijgen ze 21 maanden de tijd voor.
Tegen eind 2024 kunnen we dus een nieuwe Belgische NIS 2-wet verwachten. CCB voorspelt dat verplichtingen realistisch gezien pas vanaf 2025 van kracht kunnen gaan voor bedrijven. Tot er een nieuwe wet is, blijven de regels van de huidige NIS-wet (die op 7 april 2019 inging) wel gewoon gelden.
Het Belgische cybersecurityorgaan raadt bedrijven aan om niet passief te wachten tot de wettelijke verplichting ingaat om te investeren in hun digitale beveiliging. De federale regering kondigde in mei 2021 al een nieuwe nationale aanpak voor die eveneens tegen 2025 on werking moet gaan.