De Network and Information Security directive, of NIS2-richtlijn is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Het is bedoeld om de toenemende cyberbedreigingen voor Europese organisaties aan te pakken.
De versnippering op verschillende niveaus leidde echter tot problemen om te reageren op de toenemende dreigingen van digitalisatie en cyberaanvallen.
Om dit probleem aan te pakken, heeft de Commissie voorgesteld om de NIS-richtlijn te vervangen door NIS2. NIS2 streeft ernaar de beveiligingsvereisten te versterken en de rapportageverplichtingen te stroomlijnen. De nieuwe wetgeving introduceert strengere toezichtmaatregelen en strengere nalevingseisen. NIS2 legt ook meer nadruk op de verantwoordelijkheid van leidinggevenden en verplicht meer instanties en sectoren om maatregelen te nemen om de cyberbeveiliging te verbeteren.
Het is in november 2022 aangenomen en de lidstaten hebben tot oktober 2024 de tijd om de maatregelen om te zetten in nationale wetgeving.
NIS2 vereist dat organisaties veilige communicatieoplossingen implementeren
NIS2 is niet alleen voor aanbieders van essentiële diensten (OES) en digitale diensten (DSP’s). Het geldt voor alle bedrijven en instanties die diensten leveren die noodzakelijk zijn voor het leveren van belangrijke maatschappelijke en economische activiteiten.
NIS2 vereist dat middelgrote tot grote bedrijven binnen de relevante sectoren passende technische en organisatorische maatregelen nemen om de risico 's voor hun netwerkbeveiligings- en informatiesystemen te beheren.
Een van de belangrijkste vereisten van de NIS2-richtlijnen, uiteengezet in artikel 21, is het gebruik van veilige communicatieplatforms. Met name beheerders van essentiële diensten en leveranciers van digitale diensten zullen worden verplicht om meerfactorauthenticatie of oplossingen voor doorlopende authenticatie te gebruiken. Dit om de bescherming van gegevens te garanderen, evenals beveiligde spraak-, video-, tekstcommunicatie- en noodcommunicatiesystemen waar nodig.
Bovendien staat artikel 24 van de richtlijn de lidstaten toe te eisen dat essentiële en belangrijke instanties gebruik maken van specifieke ICT-producten, -diensten en -processen die gecertificeerd zijn in het kader van Europese certificeringsregelingen voor cyberbeveiliging. Dit om aan te tonen dat zij voldoen aan de eisen van artikel 21.
Waarom compliance van vitaal belang is voor je organisatie
Het belang van het naleven van deze richtlijnen kan niet worden overschat. Organisaties die geen adequate maatregelen nemen om hun netwerken en informatiesystemen te beschermen, riskeren niet alleen financiële schade, maar ook enorme reputatieschade en wettelijke aansprakelijkheid. Boetes voor niet-naleving kunnen oplopen tot 2% van de totale jaaromzet van een organisatie of € 10 miljoen, afhankelijk van wat hoger is.
Leidinggevenden en directeuren worden geconfronteerd met ernstige gevolgen voor niet-naleving. Onder de nieuwe regelgeving zijn lidstaten verplicht om wettelijke sancties te bepalen die aanzienlijke boetes en in sommige gevallen zelfs strafrechtelijke vervolging kunnen inhouden. Leidinggevenden en bestuurders kunnen ook persoonlijk verantwoordelijk worden gehouden voor inbreuken die voortkomen uit hun nalatigheid om passende cyberbeveiligingsmaatregelen te implementeren.
Kortom, er staat veel op het spel. Er moeten stappen worden ondernomen om te voldoen aan de NIS2-richtlijnen om niet alleen hun activiteiten en de reputatie van de organisatie te beschermen, maar ook de persoonlijke aansprakelijkheid van managementteams.
NIS2 en organisaties buiten de EU
Hoewel NIS2 niet rechtstreeks van toepassing is op organisaties die buiten de EU zijn gevestigd, zijn veel bedrijven binnen de EU actief. Daarom moeten ze nog steeds voldoen aan NIS2-normen om hetzelfde beveiligingsniveau te handhaven als andere lidstaten.
Het is ook waarschijnlijk dat regelgevers soortgelijke vereisten zullen invoeren als NIS2 om wereldwijde gevaren voor cyberbeveiliging aan te pakken. De regering van het VK wil de veerkracht van cyberspace vergroten en hun voorstel bevat veel van de voorgestelde wijzigingen vergelijkbaar met die in NIS2. Zo wordt het toepassingsgebied van de regelgeving uitgebreid en worden de rapportagevereisten strenger.
Daarom is een proactieve aanpak van cyberbeveiliging essentieel voor bedrijven om concurrerend te blijven en adequaat te beschermen tegen cyberdreigingen.
Voldoen aan NIS2
Onze slimme, veilige digitale communicatieoplossing biedt bijna 8.000 organisaties wereldwijd de mogelijkheid om te voldoen aan wetgeving op het gebied van gegevensbescherming, waaronder AVG, NTA 7516, HIPAA en NIS2.
Zivver Secure Email en Secure File Transfer integreren naadloos met Outlook, M365 en Gmail. Door het toepassen van meerfactorverificatie, zero-access versleuteling en andere beveiligingsfuncties worden de vertrouwelijkheid, integriteit en beschikbaarheid van communicatie beschermd.
Zivver ondersteunt organisaties bij het nemen van belangrijke stappen om te voldoen aan de NIS2-richtlijn en tegelijkertijd de algehele beveiliging van hun activiteiten te verbeteren. Door middel van slimme bedrijfsregels op basis van machine learning waarschuwt Zivver gebruikers voor de aanwezigheid van gevoelige gegevens, mogelijk misbruik van Bcc/Cc en onjuiste ontvangers. Daarnaast stelt het gebruikers in staat om berichten met één klik te versleutelen, of helemaal niet.
De waarde van Zivver gaat verder dan het voldoen aan wettelijke vereisten. Het kan organisaties ook helpen de efficiëntie te verbeteren door veilige en naadloze communicatie en samenwerking tussen medewerkers, partners en klanten mogelijk te maken.
De tijd tikt - begin nu met de voorbereiding op NIS2
De NIS2-richtlijn vereist dat veel grotere Europese organisaties veilige communicatieplatforms gebruiken om hun netwerken en informatiesystemen te beschermen tegen cyberdreigingen. Niet-naleving kan leiden tot aanzienlijke financiële sancties en mogelijke wettelijke verplichtingen voor leidinggevenden.
NIS2 treedt in oktober 2024 in werking. Sommige lidstaten zullen de richtlijnen echter al eerder in nationale wetgeving hebben omgezet en geactiveerd.
Neem contact op om te ontdekken hoe Zivver jouw organisatie kan ondersteunen om te voldoen aan de wetgeving voor databescherming.