Brussel breidt cybersecurityregels uit en dreigt met boetes

NIS2 (pdf) is een aanscherping van de regels die sinds 2016 van toepassing zijn op basis van NIS, merkt The Register op. Die oorspronkelijke richtlijn stelt eisen met betrekking tot de beveiliging van IT-systemen van de gezondheidszorg, de digitale infrastructuur- en serviceproviders, maar ook van de transportsector, waterbedrijven, banken, en van bedrijven betrokken bij de financiële infrastructuur en de energiesector.

Daar komen nu ook de centrale en regionale overheden bij, aanbieders van elektronische communicatienetwerken, afvalwaterzuivering en afvalverwerking en producenten van een aantal essentiële goederen zoals de geneesmiddelen, medische apparatuur en chemische producten. Ook voedselproducenten, sociale netwerkplatformen en datacentra, ruimtevaartorganisaties en post- en koeriersbedrijven vallen straks onder de NIS2-regels.

Maar er zijn ook uitzonderingen benoemd voor de reikwijdte van de uitgebreidere nieuwe richtlijn. Deze uitzonderingen betreffen organisaties betrokken bij defensie en nationale veiligheid, publieke beveiliging en handhavers en het rechtssysteem. Parlementen en centrale banken vallen ook buiten NIS2.

Vereisten in een feitenlijst

Dat laatstgenoemde sectoren zijn uitgesloten van de nieuwe regels heeft vermoedelijk te maken met het feit dat de overige sectoren verplicht zijn kwetsbaarheden te melden en inzicht te geven in de effectiviteit van hun cybersecuritymaatregelen. Verder bevat NIS2 voorschriften voor het handhaven van basale computerhygiëne, het trainen van medewerkers, het gebruik van cryptografie, asset management, toegangscontrole, plus beleid en procedures in geval van incidenten en crises. De complete lijst is in de vorm van een factsheet gepubliceerd.

NIS2 heeft ook tot doel de regelgeving meer te harmoniseren in de verschillende lidstaten. Bij de implementatie van de huidige NIS-regels is er een wildgroei aan landspecifieke regels ontstaan. Verder wil de Europese Raad dat lidstaten meer gaan samenwerken om grote cyberaanvallen af te slaan. Daartoe is het European cybercrisis liaison organization network ( EU-CyCLONe) in voorbereiding.

Miljoenenboetes

Organisaties die zich niet houden aan de NIS2-regels kunnen sancties tegemoet zien. Daaronder vallen ook boetes die kunnen oplopen tot 10 miljoen euro of 2% van hun jaarlijkse omzet wereldwijd, welk van de twee het hoogste uitkomt.