Het Europees Parlement heeft de tekst gepubliceerd van de NIS2-richtlijn. Die wet wordt over drie weken actief en verplicht Europese bedrijven die als vitale infrastructuur worden aangemerkt om bepaalde beveiligingsmaatregelen door te voeren.
Het Europees Parlement nam de richtlijn in november al aan, maar nu de definitieve tekst van de wet online staat, kan die over twintig dagen in werking treden. De NIS2-richtlijn is een verbeterde variant van de NIS-richtlijn uit 2016. Dat was de eerste Europabrede cybersecuritystrategie, maar de richtlijn is anno 2022 achterhaald, onder andere door ontwikkelingen tijdens de coronacrisis.
NIS staat voor Network and information security. De NIS-richtlijnen regelen welke bedrijven aan welke verplichte security-eisen moeten voldoen. Mede op basis van die NIS-eisen is in Nederland de Wet beveiliging netwerk- en informatiesystemen opgezet. De wet en de richtlijn schrijven voor wanneer een bedrijf tot 'vitale infrastructuur' wordt benoemd. Zulke vitale bedrijven moeten aan strenge beveiligingseisen voldoen en worden daar ook door het Nationaal Cyber Security Centrum op gecontroleerd en erbij geholpen.
Die regels stonden al opgenomen in de eerste NIS-richtlijn, maar die was achterhaald. De NIS2-richtlijn verbetert de wet op een paar punten. Zo komen er meer categorieën bij waar een bedrijf onder kan vallen. Onder de nieuwe verordening kunnen ook telecomnetwerken en andere communicatiediensten tot vitale infrastructuur worden geclassificeerd, maar ook bepaalde sociale netwerken. Ook bedrijven in de voedselindustrie en postdiensten kunnen zo worden aangemerkt. Het wordt met de nieuwe richtlijnen ook mogelijk om verschillende classificaties in te zetten. Naast vitale infrastructuur kunnen bepaalde bedrijven ook 'belangrijk' worden gemaakt. Die bedrijven hoeven dan niet aan cybersecuritynormen te voldoen, maar moeten wel verplicht melding maken van incidenten zoals hacks.
Met de NIS2-richtlijn kunnen lidstaten ook een nationale cybersecuritystrategie opstellen. Dat heeft Nederland al gedaan. Het kabinet presenteerde die in oktober al. Dat deed het vooruitlopend op de wet, maar ook vanuit een wens die door de regeringspartijen was afgesproken.
De nieuwe richtlijn scherpt daarnaast nog verschillende andere aspecten van de bestaande wetten aan. Het gaat dan bijvoorbeeld om eisen voor risicomanagement, wetten en regels rondom het gebruik van encryptie en een verplichting voor het afhandelen van datalekken.
De richtlijn wordt over twintig dagen van kracht. Europese lidstaten kunnen op basis van een richtlijn een eigen, wettelijke implementatie opzetten die voor hun land geldt, maar in tegenstelling tot een verordening is dat niet verplicht. De landen hebben daar 21 maanden de tijd voor.
Update: in dit artikel werd eerst gesproken over een verordening. Dat klopt niet; NIS2 is een richtlijn. Dat heeft een andere, niet-bindende juridische status. Het artikel is daarop aangepast.