Europese meldplicht cyberincidenten breidt uit naar meer sectoren in 2024

Vanaf 2024 zijn meer Europese bedrijven verplicht om ernstige cyberincidenten te melden en passende beveiligingsmaatregelen te nemen. Het gaat onder meer om bedrijven in de levensmiddelensector en postbedrijven.

De EU-lidstaten en het Europees Parlement hebben woensdag een akkoord bereikt over de herziening van de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Onder de huidige richtlijn vallen voornamelijk essentiële diensten, zoals banken en energieleveranciers. Ook aanbieders van technische diensten, waaronder clouddiensten en online marktplaatsen vallen onder de richtlijn.

Over twee jaar wordt het aantal sectoren die onder de richtlijnen vallen, uitgebreid, meldt de Rijksoverheid. De bedrijven kunnen dan onder twee categorieën vallen: essentiële aanbieders en belangrijke aanbieders.

Bij de essentiële aanbieders is het toezicht proactief. Onder de essentiële aanbieders vallen bedrijven uit de vitale sector, zoals medicijnfabrikanten. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats, als er aanwijzingen zijn dat er een incident heeft plaatsgevonden. De belangrijke aanbieders zijn voornamelijk partijen waarbij een verstoring van diensten geen grote maatschappelijke of economische gevolgen heeft.

Naast de meldplicht moeten alle aanbieders die onder de herziene richtlijn gaan vallen passende beveiligingsmaatregelen nemen.

De richtlijn wordt naar verwachting dit najaar gepubliceerd, na een stemming in het Europees Parlement. Daarna kan deze worden omgezet in nationale wetgeving, die vanaf halverwege 2024 moet ingaan. De EU-ministers bereikten afgelopen december een akkoord over de herziene richtlijn.

Door Loïs Franx

Redacteur

22-06-2022 • 19:12

9

Submitter: Meg

Reacties (9)

9
9
7
1
0
2
Wijzig sortering
NIS2 is voor cybersecurity wat GDPR voor privacy is, en wat MiCa voor e-valuta betekent

De EU neemt de taak op zich zichzelf te beschermen tegen ontwikkelingen in de digitale wereld. Soms frustrerend, maar het blijkt maar weer eens dat veranderingen van de afgelopen decennia een impact hebben waar je omdat je je er middenin bevindt, pas zichtbaar worden na regulatie.

NIS2 confronteert bedrijven met de realiteit dat vrijwel alle programma's waar de leverancier van verzekert 100% veilig te zijn, dankzij connectiviteit bedroevend simpel te exploiten is. Wegkijken mag niet meer.

Het is overigens een directive, dus landen mogen afwijken van de standaard als ze daarvoor kiezen.
Het klopt dat een land mag afwijken maar het is zeker niet vrijblijvend.
(Dit zeg of suggereer je niet maar mensen zouden dit zo kunnen lezen.)

A "directive" sets out a goal that all EU countries must achieve.
it is up to the individual countries to devise their own laws on how to reach these goals.


Ook zie je vaak dat landen een directive als baseline gebruiken en zelf nog extra dingen doen. Zie bijvoorbeeld de GDPR directive implementatie in diverse landen.

Volgens het EU Counsel omvat de NIS2 “minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state”.
https://www.consilium.eur...et-du-parlement-europeen/

[Reactie gewijzigd door bvdli op 23 juli 2024 06:57]

Ergens een goede ontwikkeling, omdat het algemene volwassenheidsniveau hoger wordt. NIS2, zoals het vooral genoemd wordt, gaat echter over veel meer dan alleen een meldplicht, maar ook over business continuïty en andere weerbaarheidsaspecten.
Met NIS2, wordt het toch ook mogelijk om de CTO tijdelijk aan de kant te zetten?
De inhoud van de wetgeving is nog niet volledig bekend.

Waarom zou een CTO aan de kant gezet moeten/kunnen worden? Om een tijdelijke CISO aan te stellen?
99% is wel duidelijk, het is behandeld in het parlement, aanpassingen zijn gedaan, europees Counsil heeft t goedgekeurd, ENISA heeft een vaste en belangrijke rol gekregen.

Door de geopolitieke situatie heeft de EU best snel gehandeld, er is sinds vorige maand provisional approval door het EU Parliament en EU member states
Ik las ergens dat in NIS2 bestuursleden in sommige situaties mogelijk verantwoordelijk kunnen worden gehouden.
..passende beveiligingsmaatregelen nemen.
Is er ergens concreet gemaakt wat dit precies betekent? ISO 27001 als norm ofzo?
Passend lijkt abstract, maar hangt vooral van de eigen processen af. Maar ja ISO27001/ NEN7510 etc zijn de principes waar je je op kan baseren

Op dit item kan niet meer gereageerd worden.