De definitieve tekst van de NIS2-richtlijn is gepubliceerd door het Europees Parlement. De wet bouwt voort op de eerdere NIS-richtlijn uit 2016 en verplicht bedrijven die als vitale infrastructuur zijn aangemerkt onder meer tot het voldoen aan strenge beveiligingseisen.
De NIS2 is in november aangenomen door het Europees Parlement. Nu is ook de definitieve tekst van de wet beschikbaar. NIS krijgt een update aangezien de richtlijn inmiddels zou zijn achterhaald. In Nederland is de NIS verwerkt in de Wet beveiliging netwerk- en informatiesystemen.
Meer bedrijven kunnen als vitaal gekenmerkt worden
In nieuwe variant van de Europese securityrichtlijn is onder meer ruimte telecomnetwerken, andere communicatiediensten evenals sommige sociale netwerken als vitale infrastructuur te classificeren. Dat geldt echter ook voor bedrijven in andere sectoren waar verstoringen een grote maatschappelijke impact kunnen hebben. Denk hierbij aan de voedselindustrie.
De NIS2 biedt daarnaast ruimte om onderscheid te maken tussen dergelijke partijen. Zo hoeft niet iedere partij als vitaal te worden aangemerkt, maar kan deze ook als ‘belangrijk’ worden gekenmerkt. Deze partijen hoeven in de praktijk niet aan de securitynormen uit de NIS2 te voldoen, maar zijn wel verplicht melding te maken van securityincidenten.
Digitale veiligheid naar hoger niveau tillen
Petra Claessen, Vice-voorzitter BTG en boardmember BTG Services: “De wereld is volop in beweging, waarbij we steeds digitaler opereren. Dit biedt grote voordelen, maar brengt ook risico’s met zich mee. De maatschappelijk impact die een cuyberincident kan hebben neemt dan ook steeds verder toe. Met de NIS2 speelt de EU hierop in en biedt ruimte voor het classificeren van meer partijen als vitale infrastructuur. Ook kan onderscheid worden gemaakt tussen vitale en belangrijke partijen. Belangrijk, want een cyberaanval op een organisatie kent niet altijd dezelfde impact. De NIS2 is dan ook een belangrijke richtlijn die de digitale veiligheid van de EU naar een hoger niveau tilt.”