1. NIS2, bent u er klaar voor?
Netwerk- en informatiesystemen hebben zich ontwikkeld tot een centraal kenmerk van ons dagelijks leven door de snelle digitale transformatie en de onderlinge verbondenheid van de samenleving.
Veel kritieke maatschappelijke of economische activiteiten zijn immers afhankelijk van de goede werking van deze netwerk- en informatiesystemen.
Het aantal, de omvang, de schaal, de complexiteit, de frequentie en de impact van incidenten met invloed op deze netwerk- en informatiesystemen vormen nu echter een aanzienlijke bedreiging voor de bevolking, ondernemingen en overheden.
De samenleving wordt alsmaar digitaler, er wordt steeds vaker een beroep gedaan op nieuwe technologieën. Dat gaat wereldwijd gepaard met een toename van het aantal cyberaanvallen, die ook qua ernst en omvang driester worden, zoals veel recente voorvallen nog hebben aangetoond. Deze aanvallen zijn het werk van criminelen, terroristen, activisten of buitenlandse militaire en inlichtingendiensten, die erop uit zijn de integriteit, beschikbaarheid en vertrouwelijkheid van de door de informatiesystemen gebruikte gegevens te schaden.
Alle burgers, ondernemingen en overheden moeten zich dan ook bewust zijn van het belang zich preventief te beschermen tegen cyberdreigingen en cyberincidenten. Een cyberincident kan immers ernstige operationele verstoringen in kritieke sectoren teweegbrengen en natuurlijke of rechtspersonen treffen, met aanzienlijke materiële, lichamelijke of morele schade als gevolg.
Een incident kan er bijvoorbeeld toe leiden dat de energiedistributie buiten werking wordt gesteld of vervoersdiensten niet meer beschikbaar zijn. Aangezien deze incidenten essentiële spelers in sleutelsectoren, waaronder overheden, treffen, vormen ze een ernstige bedreiging voor de openbare veiligheid.
Enkele definities…
Cyberbeveiliging: de activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die getroffen worden door cyberdreigingen, te beschermen (bron: Verordening (EU) 2019/881) [1]
Cyberdreiging: elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan schaden, verstoren of op andere wijze negatief kan beïnvloeden (bron: Verordening (EU) 2019/881)
Risico: de mogelijkheid van verlies of verstoring als gevolg van een incident, wat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet (bron: Richtlijn (EU) 2022/2555) [2]
Incident: een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt (bron: Richtlijn (EU) 2022/2555)
Netwerk- en informatiesysteem:
a) een elektronisch communicatienetwerk in de zin van artikel 2, punt 1), van Richtlijn (EU) 2018/1972 [3];
b) elk apparaat of elke groep van onderling verbonden of verwante apparaten, waarvan er een of meer, op grond van een programma, een automatische verwerking van digitale gegevens uitvoeren, of
c) digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van de in punten a) en b) bedoelde elementen met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan (bron: Richtlijn (EU) 2022/2555)
[1] Verordening (UE) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake ENISA (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening)
[2] Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn)
[3] Richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie (herschikking)