Wat is NIS2?

De Network and Information Systems Directive 2 (NIS2) is een belangrijke Europese wetgeving die tot doel heeft de cyberbeveiliging binnen de Europese Unie (EU) te versterken. Deze richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016 en introduceert uitgebreidere maatregelen om een hoog en uniform niveau van cyberbeveiliging in alle lidstaten te waarborgen.

Achtergrond en ontwikkeling

De oorspronkelijke NIS-richtlijn, geïmplementeerd in 2016, was gericht op het verbeteren van de cyberbeveiliging voor essentiële diensten zoals energie, transport en bankwezen. Echter, de implementatie ervan onthulde inconsistenties en gaten tussen de lidstaten, wat leidde tot gefragmenteerde cyberbeveiligingsmaatregelen en verhoogde risico's. Om deze tekortkomingen aan te pakken, stelde de Europese Commissie een versterkte en uitgebreidere richtlijn voor: de NIS2-richtlijn.

Belangrijkste wijzigingen en uitbreidingen

De NIS2-richtlijn brengt verschillende belangrijke wijzigingen en uitbreidingen met zich mee ten opzichte van haar voorganger. dit heeft betrekking op 4 overkoepelende categorieën, namelijk:

• Risk management: organisaties wordt geadviseerd om maatregelen te implementeren om cyberrisico's te beperken. Denk hierbij aan verbeterd incidentenbeheer, verhoogde toegangscontrole en gebruik van encryptietechnieken.

• Corporate accountability: het management van een organisatie moet toezicht houden op, goedkeuring geven aan en zelf training volgen over cybersecurityprotocollen.

• Reporting obligation: Organisaties zijn verplicht om procedures op te zetten die een tijdige melding van beveiligingsincidenten mogelijk maken. NIS2 stelt specifieke deadlines vast, zoals de 'early warning'-melding binnen 24 uur na ontdekking van een incident.

• Business continuity: Organisaties moeten strategieën ontwikkelen om de bedrijfscontinuïteit te waarborgen bij cyberincidenten. Deze strategieën moeten onder meer bestaan uit:

• Herstelprotocollen voor systemen

• Noodprocedures

• De oprichting van een crisisteam

Ten slotte is NIS2 uitgebreid naar meer sectoren, waaronder openbare administratie en andere infrastructuurdiensten zoals datacenterdienstverleners. Online winkels en zoekmachines vallen ook onder de nieuwe richtlijnen.

Implementatietijdlijn en huidige status

De NIS2-richtlijn is op 16 januari 2023 in werking getreden. Lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. In Nederland is deze deadline niet gehaald. De verwachting is nu dat het in het derde kwartaal van 2025 in werking zal treden.

Gevolgen voor organisaties

Organisaties die onder de reikwijdte van de NIS2-richtlijn vallen, dienen proactief hun cyberbeveiligingskaders te versterken om aan de strengere eisen te voldoen. Niet-naleving kan leiden tot reputatieschade. Dit is omdat organisaties die zich er niet aan houden gedwongen worden dit publiekelijk bekend te maken. Ook kan je geldboetes tot 10 miljoen euro ontvangen.

Behaal NIS2-compliance met ManageEngine AD360

Om jou te helpen voldoen aan de strikte eisen van de NIS2-richtlijn, bieden wij AD360 aan, een uitgebreide Identity and Access Management (IAM)-oplossing. Met functionaliteiten zoals role-based access control (RBAC), Multhi-factor authentication (MFA), risicobeoordeling en incidentrapportage helpt AD360 bij het beveiligen van toegang tot IT-systemen en het naleven van kritieke NIS2-artikelen. Daarnaast biedt AD360 realtime monitoring, rapportages en automatische back-ups, waardoor je niet alleen voldoet aan de regelgeving, maar ook proactief je cyberbeveiliging versterkt. Kies voor AD360 en versterk de beveiliging en NIS2-compliance van jouw IT-omgeving.