– Een tal van EU-lidstaten hebben de originele NIS2 implementatiedatum gemist
– Een aantal belangrijke sectoren zijn bezorgd over de cyber-bereidheid van de EU
– Bedrijven zoals Dahua Technology en Siemens hebben uitgebreide maatregelen genomen om de naleving van NIS2 te bevorderen
Het Europese parlement heeft op 2 november 2022 in richtlijn 2 van de Cyberbeveiligingswet, 17 oktober 2024 als een belangrijke datum in de geschiedenis van de Europese cyberbeveiligignsverordening geoormerkt.
Dit zou de datum worden waarop de verreikende nieuwe Europese verodening geimplementeerd zal worden in de 27 lidstaten van het blok. Dit is een vervanging van de NIS richtlijn, welke is aangenomen in juli 2016.
Maar aan het einde van oktober 2024 hebben slechts vier EU-lidstaten – België, Kroatië, Hongarije en Letland – de volledige omzetting voltooid van NIS2.
Er zijn een aantal staten, zoals Spanje en Portugal, die nog steeds een openbaar ontwerp moeten publiceren van hun voorstel om de richtlijn te implementeren in de nationale wetgeving.
De ongelijke implementatie van NIS2, heeft geleid tot bezorgdheid in belangrijke sectoren. Men maakt zich zorgen dat de onduidelijkheid over de status van de verordening mogelijk onredelijke uitdagingen zou kunnen veroorzaken, inzake conformiteit. Dit zou de activiteiten van een aantal van de meest dynamische bedrijven in de EU kunnen belemmeren, wanneer het blok wanhopig economische groei probeert te bevorderen.
Was is de Europese NIS2-richtlijn?
NIS2 is gebouwd op het bestaande kader van de EU 2016 NIS-richtlijn, de eerste EU-brede richtlijn die als doel heeft de nationale wetgeving te harmoniseren over cyberbeveiliging in de lidstaten.
Veel gematigder in reikwijdte, de NIS-richtlijn was enkel van toepassing op aanbieders van essentiële diensten (ESP), gedefinieerd als energie, transport, banking, financiële marktinfrastructuren, gezondheidssector, drinkwatervoorziening en -distributie en digitale infrastructuur.
NIS2 breidt deze reikwijdte aanzienlijk uit, waarbij twee nieuwe categorieën van dienstleveranciers die als ‘essentieel’ en ‘belangrijk’ worden beschouwd voor de nationale economie. Het voordeel is dat nagenoeg 160.000 organisaties in de EU op het punt staan binnen de nieuwe richtlijn van het blok te vallen.
NIS2 legt een uitgebreid kader vast van verplichtingen: bedrijven moeten nu een strengere lijst van verplichte maatregelen naleven, waaronder beleidslijnen inzake cyberbeveiliging training en risicoanalyse en strenge rapportering tijdlijnen voor cyberbeveiligingsovertredingen. Dit betekent dat de relevante autoriteiten op de hoogte moet worden gebracht binnen vastgelegde tijdlijnen.
NIS2 heeft ook veel strengere sancties dan zijn voorganger als de richtlijn niet wordt nageleefd. ‘Essentiële’ bedrijven kunnen nu worden beboet tot € 10 miljoen of 2 percent van hun wereldwijde jaarlijkse omzet, als dit hoger is, als de richtlijn niet wordt nageleefd, terwijl ‘belangrijke’ bedrijven nog steeds aanzienlijke boetes kunnen krijgen van maximaal € 7 miljoen, of 1,4% van hun wereldwijde jaarlijkse omzet, als dit bedrag hoger is.
De nood van de EU om uitgebreidere regelgeving te introduceren, werd duidelijk na de talrijke grootschalige cyberaanvallen op het continent in de afgelopen jaren.
De reactie coördineren van EU-lidstaten op cyberaanvallen vormde een belangrijk onderdeel van de reden voor de vervanging van NIS1 die, volgens de EU-commissie, ‘geen gezamenlijke reactie op de crisis bevorderde’.
Maar ondanks het enorme belang blijven vele lidstaten achteroplopen in het wetgevende proces: hoewel Duitsland, Nederland en Tsjechië wetsontwerpen hebben voorbereid, liggen Ierland, Griekenland en Spanje ver achterop in het proces.
Hoe kunnen bedrijven NIS2 voorblijven?
Met alle onzekerheid rond de NIS2 implementatie is het begrijpelijk dat een tal van bedrijven het gevoel hebben dat ze aan hun lot worden overgelaten met betrekking tot de nieuwe richtlijn van het blok. In overeenstemming met de recente cyberbeveiligingsrapport uitgevoerd door Microsoft, bijvoorbeeld, zijn slechts 20% van Ierse bedrijven conform met NIS2.
Een aantal bedrijven hebben echter stappen ondernomen om de verordening voor te blijven. Dahua Technology, bijvoorbeeld, hebben maatregelen genomen in lijn met NIS2, waaronder beleidslijnen inzake het beheer van kwetsbaarheden en de rapportering van incidenten, cryptografie en encryptie maatregels, het beheer van de productbeveiliging en risico-evaluatie.
Intussen heeft Siemens, een technologisch conglomeraat gebaseerd in Duitsland, speciale opleidingen uitgevoerd met hun medewerkers om een breed bewustzijn van de nieuwe richtlijnen te garanderen.
Ongeacht het tijdskader van de implementatie van NIS2 zijn de aanbevelingen van het blok ‘good practice’ voor elk bedrijf dat voldoende groot is om kwetsbaar te zijn voor een cyberaanval, en zij kunnen bijdragen tot het geruststellen van klanten over de verantwoorde behandeling van gegevens en een snelle reactie op cyberincidenten.
Conclusie
Waar de NIS2-implementatie niet zo vlot zal zijn verlopen als velen in de Commissie hadden gehoopt, is het duidelijk dat cyberbeveiliging een grote zorg is geworden voor multinationale bedrijven die, omwille van hun vertrouwen op complexe digitale systemen, zich openstellen voor aanvallen van cybercriminelen.
Door maatregelen te nemen die werden geïmplementeerd door bedrijven zoals Dahua en Siemens kunnen bedrijven niet alleen de inkomende NIS2-richtlijn voorblijven, maar ook de structuren die nodig zijn voor een verantwoorde reactie op cyberincidenten op proactieve wijze implementeren.
