2. Wat is NIS2?
De Europese Unie (EU) zag de omvang, de frequentie en de gevolgen van beveiligingsincidenten toenemen. Die incidenten vormen een grote bedreiging voor de goede werking van netwerk- en informatiesystemen. Deze systemen kunnen ook het doelwit worden van opzettelijke schadelijke acties, met de bedoeling de werking ervan te verstoren of te onderbreken. Deze ontwikkeling heeft geleid tot een uitbreiding van het cyberdreigingslandschap en het ontstaan van nieuwe uitdagingen, die vragen om passende, gecoördineerde en innovatieve reacties in alle lidstaten.
Samen met de Cyber Resilience Act (CRA) [4] maakt NIS2 deel uit van de respons die de EU heeft ontwikkeld en biedt het de regelgevende basis voor het waarborgen van maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de hele EU.
“NIS2” [5] is het acroniem voor de “Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)”. [6]
De NIS2-richtlijn [7] vervangt de “Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie” (NIS1-richtlijn).
De NIS2-richtlijn stelt geen cyberbeveiligingsregels vast die van toepassing zijn op alle organisaties die actief zijn op een specifiek gebied. Ze stelt gemeenschappelijke minimummaatregelen vast voor het beheer van risico’s op het gebied van cyberbeveiliging en de melding van belangrijke incidenten (of belangrijke cyberdreigingen) aan alle essentiële en belangrijke entiteiten.
De NIS2-richtlijn stelt enerzijds verplichtingen vast wat betreft het nationaal cyberbeveiligingsbeleid, en legt anderzijds bepaalde entiteiten eisen op met betrekking tot het beheer van cyberbeveiligingsrisico’s en de melding van incidenten.
Wat het nationaal beleid betreft, gaat het met name om de nationale cyberbeveiligingsstrategie, nationale kaders voor cybercrisisbeheer, de taken van de bevoegde autoriteiten en de nationale samenwerking.
[4] Zie ons artikel “ Verbonden apparaten en cyberbeveiliging: de EU onderneemt actie!”, in: Fire & Security Alert Magazine nr. 31, juni 2023, pp. 29-32.
[5] We geven de voorkeur aan de afkorting “NIS2” in plaats van “NIS 2”, omdat de eerste al gebruikt wordt door onze federale autoriteiten en internationaal erkend is.
[6] Tekst beschikbaar op Eur-Lex: https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:32022L2555
[7] Reeds kort voorgesteld in ons artikel “ Cyberveiligheid - Strengere Europese regels”, in Fire & Security Alert Magazine nr. 30, maart 2023, p. 31.