De nieuwe Europese NIS2-richtlijn voor cyberbeveiliging, in Nederland NIB2 genaamd, treedt op dinsdag 16 januari aanstaande in werking. De EU-landen hebben tot 17 oktober 2024 de tijd om de nieuwe vereisten voor netwerk- en informatiebeveiliging om te zetten in nationale wetgeving. Het Europees Parlement nam de verordening afgelopen november al aan, maar het wachten was op de officiële publicatie in het ‘EU-staatsblad’. Dat is nu gebeurd.
Ook (middel)grote bedrijven en instellingen uit een aantal sectoren die voorheen niet tot de zogenoemde kritische infrastructuur behoorden, gaan onder de komende wetgeving vallen. Dit geldt bijvoorbeeld voor aanbieders van openbare elektronische communicatiediensten en bepaalde digitale dienstverleners.
Ook bepaalde dienstverleners van domeinnaam-systemen (dns) zoals registers voor topleveldomeinnamen krijgen hiermee te maken. Ze worden verplicht om domeineigenaren te identificeren. Dit moet de werking van anonieme websites in de EU en via hen georganiseerde datalekken bemoeilijken. Verder moeten dns-registraties binnen maximaal 72 uur gemotiveerde verzoeken van het Openbaar Ministerie om toegang tot de meta-gegevens van geregistreerde domeinnamen inwilligen.
Cloud computing-diensten
De richtlijn is eveneens van toepassing op cloud computing-diensten, of het nu gaat om infrastructuur (iaas), platformen (paas), software (saas) dan wel netwerk als dienst (naas). Zowel private als gemeenschaps-, publieke en hybride cloud vallen eronder. Ook nieuwe diensten op gebied van edge computing moeten zich op de strengere eisen voorbereiden.
Bestuurders van betrokken bedrijven zijn straks niet alleen verantwoordelijk maar ook aansprakelijk voor overtredingen van de nieuwe regelgeving. Ze moeten daarom scherp gaan letten op de cyberrisico’s die hun bedrijven lopen. Dit risicomanagement omvat ook software afkomstig van toeleveranciers.