Met de groei van transacties op afstand en telewerken is het klimaat gunstiger dan ooit voor cyberdreigingen. In zijn “Panorama de la menace informatique” (uitgegeven in 2022) constateert het Franse overheidsorgaan Anssi een stijging van 37% van het aantal bewezen inbraken in informatiesystemen in 2021 ten opzichte van 2020. Geconfronteerd met de toenemende risico’s heeft de Europese commissie de NIS-richtlijn van 2016, de eerste Europese regelgeving op het gebied van cyberbeveiliging, herzien om de reikwijdte van de betrokken organisaties uit te breiden en het regelgevingskader voor de lidstaten verder te harmoniseren. Deze herziening die in juni 2022 werd goedgekeurd is de NIS2-richtlijn.
NIS1, een oprichtende wettekst op het gebied van cyberveiligheid en regelgeving
Omdat de NIS-richtlijn (Network and Information System Security) al vanaf de inwerkingtreding in 2018 deel uitmaakt van het cyberveiligheidslandschap, heeft men de neiging te vergeten hoe vernieuwend deze richtlijn is. Het was de eerste poging voor een globale versterking van de cyberveiligheid onder de 27 lidstaten die een basis van garanties vastlegde voor de ontwikkeling van een vertrouwelijk ecosysteem. Hierbij werd de nadruk gelegd op Aanbieders van essentiële diensten: deze bedrijven worden door Anssi gedefinieerd als “een essentiële dienst leverend, waarvan de onderbreking grote gevolgen zou hebben voor de werking van de economie of de maatschappij”.
Met andere woorden legde de eerste NIS-richtlijn de gemeenschappelijke norm vast voor een verdediging tegen cyberdreigingen binnen de Europese unie. De richtlijn, die in de nationale wetgeving van de lidstaten werd omgezet, leidde tot het opzetten van regelgevende middelen en tot een onmiskenbare verbetering van het veiligheidsniveau voor essentiële aanbieders op de markt.
Maar vanwege de transformatie van de dreigingen moest de wetstekst werden aangepast, met name om het toepassingsgebied uit te breiden en de bedrijven voor te bereiden op de huidige en toekomstige problematiek van cyberveiligheid. Deze constatering bracht de Commissie ertoe om de richtlijn te herzien onder de naam NIS2.
NIS2, een rechtsgrondslag die beter is aangepast aan de cyberveiligheidsproblematiek
De herziening van de NIS komt voort uit de wil om de in de eerste versie van de wetstekst voorziene regelgevende maatregelen aan te passen, door gebruik te maken de verworven kennis en door de nieuwe cyberuitdagingen te integreren in de context van een steeds verdergaande interconnectie.
Daarom werd het toepassingsgebied van de NIS2-richtlijn uitgebreid tot meer dan 150.000 entiteiten (tegen slechts een honderdtal voor de NIS1), teneinde sectoren als diensten voor internettoegang, datacenterdiensten, detailhandel, onderzoek, postdiensten en afvalbeheer erbij te betrekken. Voorheen waren de maatregelen gericht op sectoren zoals telecommunicatie, levensmiddelen, vervoer, gezondheidszorg, energie, waterzuivering en financiële diensten.
Als onderdeel van de innovaties voert de NIS2 ook de verplichting in om incidenten te melden wanneer bepaalde schadegevallen (cyberaanvallen, gegevensverlies enz.) grote operationele of financiële risico’s inhouden. Als laatste punt kunnen er voortaan sancties worden opgelegd aan entiteiten die de organisatorische en technische maatregelen niet naleven, met boetes die kunnen oplopen tot 2% van de wereldwijde jaaromzet van de overtredende entiteit.
Een strikter normatief kader voor een steeds verdergaande samenwerking
Door steeds meer bedrijven te dwingen om cyberveiligheidsmaatregelen in te voeren beoogt de nieuwe NIS2-richtlijn het normatief kader te versterken dat werd ingevoerd in het kader van de NIS1, om zo de rekening te houden met de ontwikkeling van de thuismarkt en de diversifiëring van de dreigingen. Het doel is om de cyberweerstand te verbeteren binnen de Europese Unie, door te zorgen dat kritieke spelers zich goed bewust zijn van de risico’s en dat zij de nodige maatregelen hebben ingevoerd om informatietechnische dreingingen aan te pakken.
En er is nog meer! De NIS2 beoogt bovendien om de samenwerking binnen de Unie te consolideren. Dit is de taak van het CyCLONe-netwerk (Cyber Crisis Liaison Organisation Network), dat de met crisisbeheersing belaste nationale agentschappen van de EU-landen op operationeel gebied coördineert. Het netwerk werd in 2020 opgericht om de uitvoering van een actieplan te begeleiden in geval van cyberaanvallen of grensoverschrijdende crisissen en om bedrijven te helpen om informatie over dreigingen beter met elkaar te delen.
De NIS2-richtlijn is daarom een belangrijke nieuwe stap vooruit om een geharmoniseerd normatief kader op het gebied van cyberveiligheid vast te leggen voor alle Europese landen. Maar de vooruitgang op wetgevingsgebied is echter nog te zeer beperkt tot grote structuren. Met andere woorden worden de KMO-bedrijven niet bij de processen betrokken, ofschoon zij minder goed zijn opgewassen tegen cyberdreigingen (in Europa is één op de twee bedrijven die slachtoffer zijn van ransomware een KMO-bedrijf volgens de “Anozr Way barometer“). Het is dan ook te taak van nationale overheden om kleine structuren bewust te maken van cyberrisico’s maar ook van de goede praktijken die moeten worden ingevoerd om zich daartegen te beschermen.