Europa werkt aan een nieuwe versie van het ‘directieve rond de beveiliging van netwerk- en informatiesystemen’ (NIS Directive). De digitalisering van de maatschappij, nog eens versneld door corona, maakt een update van het directieve noodzakelijk, klinkt het.
Met de nieuwe maatregelen moet de NIS Directive 2.0 toekomstgericht zijn en aangepast aan de huidige noden. Zo wordt de scope van het plan breder gemaakt en zullen meer sectoren onder de nieuwe maatregelen vallen, afhankelijk van hoe kritisch ze zijn voor de economie en de maatschappij. Tegelijk zullen in bepaalde sectoren ook sowieso alle middelgrote en grote bedrijven onder de nieuwe regels vallen. Verder moet het makkelijk zijn om kleine bedrijven achter de maatregelen te scharen.
Voor deze laatste categorie gaan ook strengere veiligheidsvereisten gelden. Er wordt meer belang gelegd op risicobeheer en er komt een lijst met minimale veiligheidsingrepen . Ook de supply chains en toeleveranciers zullen beter beveiligd moeten worden om risico’s uit te sluiten. Daarnaast wordt het onderscheid tussen ‘operatoren van essentiële diensten’ en ‘digital service providers’ opgeheven.
Tot slot zullen overheden meer middelen krijgen om de maatregelen op te leggen en toe te laten passen en worden de regels zoveel mogelijk geharmoniseerd over de Europese landen. Er komt ook een verbeterde methodiek om eventueel gevonden kwetsbaarheden in software over heel Europa te melden. Het European Union Agency for Cybersecurity (ENISA) zal ook een register bijhouden van zulke kwetsbaarheden.
Het voorstel moet nog door het Europees Parlement besproken worden. Na goedkeuring krijgen lidstaten achttien maanden de tijd om NIS2 in te voeren. Om de 4,5 jaar komt de directieve opnieuw onder de loep.
