De inhoud die u bekijkt is op maat voor Nederland. Inhoud voor Verenigde Staten bekijken | Ander land selecteren

De NIS 2 Om de norm te bepalen voor Cyber Security in de Europese Unie, zijn bedrijven uit verschillende sectoren verplicht om hun beveiligingsstrategie aan te tonen. Het aftellen is begonnen en het is tijd om ons samen voor te bereiden!

Wereldbol met netwerkkoppeling met veiligheidsslot

Sinds 18 oktober 2024 is de nieuwe cyberbeveiligingsrichtlijn van de EU – NIS 2 – verplicht. Deze bindende verordening bepaalt de norm voor Cyber Security in de gehele Europese Unie en dwingt bedrijven uit verschillende sectoren om hun securitystrategie te documenteren.

Bedrijven worden opgeroepen om in actie te komen.

Wat is de NIS 2?

Met NIS 2 (netwerk- en informatiebeveiliging) heeft de EU strenge voorschriften voor cybersecurity voor haar lidstaten ingevoerd. NIS 2 is de opvolger van de NIS-richtlijn die al in 2016 van kracht werd. De implementatie van een complete securitystrategie is daarom niet meer alleen nodig ter bescherming tegen cyberaanvallen, maar is ook wettelijk verplicht.

De lidstaten moeten de benodigde maatregelen nemen om uiterlijk op 17 oktober 2024 aan de NIS-2-richtlijn te voldoen en moeten deze maatregelen vanaf 18 oktober 2024 toepassen.

Verschillen tussen NIS 1 en NIS 2

Waarin verschilt NIS 1 van NIS 2?

NIS 2 is een verbeterde versie van de NIS-richtlijn uit 2016, die al bedoeld was om een hoog beveiligingsniveau voor netwerk- en informatiesystemen in de Unie te garanderen, maar een aantal zwakke punten vertoonde.

De belangrijkste verschillen tussen NIS 1 en NIS 2 zijn:

  • De nieuwe versie bevat meer sectoren en bedrijven die essentieel zijn voor de samenleving en de economie, zoals energie, gezondheidszorg, verkeer en digitale infrastructuur.

  • Op grond van NIS 2 moeten de betrokken bedrijven en organisaties een doeltreffend risicobeheer toepassen en ernstige of significante cyberincidenten melden aan de bevoegde nationale instanties die vervolgens de benodigde maatregelen kunnen nemen. In NIS 1 stonden alleen algemene richtlijnen voor beveiligingsmaatregelen en het melden van incidenten.

  • De nieuwe securityrichtlijn voorziet in strengere sancties voor lidstaten, die kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde omzet, wanneer de betrokken bedrijven en organisaties niet de benodigde beveiligingsmaatregelen nemen of ernstige of significante cyberincidenten niet melden bij de bevoegde nationale instanties. NIS 1 liet het bepalen van sancties over aan de lidstaten, wat leidde tot een inconsistente toepassing.

  • In NIS 2 wordt de persoonlijke verantwoordelijkheid van het management voor Cyber Security benadrukt en wordt voor het eerst bepaald dat directeuren aansprakelijk zijn met hun persoonlijke vermogen, wanneer ze niet voldoen aan de wettelijke vereisten.

Doelgroep van NIS 2

Wie heeft ermee te maken?

Welke bedrijven zijn verplicht om de NIS-2-richtlijn te implementeren?

Essentiële instanties: dit zijn de organisaties die actief zijn op het gebied van kritische infrastructuren. Deze omvatten bijv. energie, transport, watermanagement, gezondheidszorg of banken.

Belangrijke instanties: deze categorie omvat de toonaangevende bedrijven in de voedingsmiddelenindustrie en chemische industrie evenals bedrijven die verantwoordelijk zijn voor de productie van elektrische apparaten, machines en voertuigen.

Bovendien hebben de lidstaten zelf de mogelijkheid om de doelgroepen van NIS 2 uit te breiden. Ze kunnen extra instanties toevoegen aan hun nationale lijsten, waardoor lokale overheden, onderwijsinstellingen en meer verplicht worden om de richtlijnen te implementeren.

Herinnering voor NIS 2

Wat zijn de straffen?

De NIS-2-richtlijn wordt streng geïmplementeerd, inclusief zware boetes voor niet-naleving of niet-naleving van de meldingsverplichtingen. De hoogte van de boetes hangt daarbij af van de indeling van de individuele ondernemingen.

Ondernemingen die als 'belangrijk' worden geclassificeerd, moeten boetes betalen tussen 7 miljoen euro of maximaal 1,4% van de totale wereldwijde jaaromzet in het vorige boekjaar. Aan 'grote ondernemingen' kunnen boetes worden opgelegd tot 10 miljoen euro of maximaal 2% van hun totale wereldwijde jaaromzet.

Due diligence op het gebied van Cyber Security is niet voor onderhandeling vatbaar en het topmanagement heeft de plicht om de implementatie en bewaking van deze Cyber Security-maatregelen te leiden.

Wat betekent dat eigenlijk voor u?

De NIS 2-richtlijn is een EU-richtlijn die op 16 januari 2023 in werking is getreden en tot doel heeft de Cyber Security en veerkracht van kritieke infrastructuren en digitale dienstverleners te verbeteren. De richtlijn verplicht de betrokken bedrijven en organisaties tot een doeltreffend risicobeheer en tot het melden van ernstige of significante cyberincidenten aan de bevoegde nationale instanties die vervolgens de benodigde maatregelen kunnen nemen. Om de potentiële schade voor gebruikers, het milieu en de openbare orde tot een minimum te beperken, is het de bedoeling om leemten in de beveiliging in een vroeg stadium op te sporen en daar preventief tegen op te treden. Om ervoor te zorgen dat alle betrokken partijen zich aan dezelfde hoge standaarden houden, zijn bedrijven bovendien verantwoordelijk voor de beveiliging van de gehele leveringsketen en voor het doorgeven van de vereisten aan hun zakenpartners en leveranciers. Andere maatregelen zijn onder andere:

  • De implementatie van gepaste en proportionele beveiligingsmaatregelen die voldoen aan de huidige standaarden en de beproefde praktijken om de vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van hun gegevens en diensten te waarborgen.

  • Het opstellen en bijwerken van een bedrijfscontinuïteitsplan dat het herstel van normale bedrijfsomstandigheden na een cyberincident mogelijk maakt.

  • Om onbevoegde toegang te voorkomen, moet een multifactorverificatie voor toegang tot hun netwerken en informatiesystemen worden ingevoerd.

Het EU-agentschap voor Cyber Security (ENISA) zal een sleutelrol spelen bij het toezicht op en de ondersteuning van de toepassing van deze rechtshandelingen.

NIS 2 – Manufacturer‘s obligations
Alle feiten op een rij
Uw uitgebreide gids voor de Cyber Resilience Act

Vraag onze Whitepaper "The Cyber Resilience Act – The Future of Cyber Security for Digital Products" aan om alle belangrijke informatie over de CRA in één oogopslag te krijgen. Het document bevat alle belangrijke feiten over de EU-verordening en geeft ook inzicht in hoe wij bij Phoenix Contact voldoen aan de eisen van de CRA.

Whitepaper nu downloaden
In een netwerk gekoppelde wereld met veiligheidsslot

NIS 2-schema

De NIS-2-richtlijn is op 16 januari 2023 in werking getreden en moest uiterlijk op 17 oktober 2024 zijn omgezet in nationale wetgeving. De uitvoering van de richtlijn wordt vanaf 17 oktober 2027 elke 36 maanden door de Commissie geëvalueerd.

Het is tijd om actief te worden en u voor te bereiden.

Tijdsbalk NIS 2

NIS 2 is al op 16 januari 2023 van kracht geworden

360°-securitycircuit

Ons volledige 360°-securityconcept

360°-security – ons volledige aanbod zonder compromissen

In de dynamische wereld van Cyber Security is verandering een constante en benadrukt de invoering van de NIS 2-richtlijn dit feit. Terwijl we wachten tot de richtlijn is geïmplementeerd in nationale wetgeving om volledig van kracht te worden, is de urgentie om maatregelen te nemen onmiskenbaar.

Om aan de strenge eisen van NIS 2 te voldoen, moeten we vertrouwen op Europese en internationale standaarden, die ons fundament vormen. Deze standaarden definiëren niet alleen veilige producten, maar leggen ook de principes vast voor het implementeren van bestendige securitysystemen. Een uitstekend voorbeeld is IEC 62443, een wereldwijd erkende reeks normen voor veiligheid in de automatisering. Ons uniforme 360°-beveiligingsconcept omvat zowel technische als organisatorische maatregelen die worden ondersteund door overeenkomstige IEC 62443-certificeringen.