De digitale transformatie heeft een positief effect gehad op de veiligheid van de netwerken en informatiesystemen, maar leidt ook tot een sterke stijging van het aantal cyberdreigingen.
De NIS 2-richtlijn is gebaseerd op een natuurlijke evolutie van het antwoord dat de EU formuleert op de toenemende cyberdreigingen. De oorsprong van deze richtlijn gaat terug tot de eerste richtlijn inzake netwerk- en informatiebeveiliging, die in juli 2015 werd goedgekeurd. Dit was de eerste poging van de EU om een concreet regelgevingskader op te stellen om de cyberbeveiliging van kritieke infrastructuur en digitale diensten naar een hoger niveau te tillen. De eerste richtlijn is een belangrijke stap in de erkenning van de behoefte aan een gecoördineerde actie op Europees niveau om onze kritieke systemen te beschermen tegen cyberdreigingen.
In het kader van de COVID-19-pandemie en de sterke stijging van de digitale transformatie moesten er aanvullende maatregelen worden genomen om nieuwe uitdagingen op het vlak van cyberbeveiliging het hoofd te kunnen bieden.
De NIS 2-richtlijn is dan ook uitgebreider dan haar voorganger, met strengere maatregelen en een breder toepassingsgebied. Deze richtlijn is nodig om ons snel aan te passen aan een permanent evoluerende cyberomgeving en om infrastructuren te beschermen tegen de bedreigingen door ze veerkrachtiger te maken.
Impact en gevolgen van de NIS 2-richtlijn: op wie heeft ze betrekking?
Er werden specifieke criteria ingevoerd om te bepalen of bedrijven onder de richtlijn vallen, op basis van hoe belangrijk ze zijn voor de essentiële diensten.
Energie, transport, gezondheid en zelfs de voedingsindustrie, ze staan allemaal op de lijst van de essentiële diensten. Dit toont aan hoe belangrijk het is om de infrastructuren te beschermen tegen cyberdreigingen. Zijn productie en onderzoek opgenomen in de lijst van belangrijke diensten?
De NIS 2-richtlijn stelt verschillende niveaus van verplichtingen vast, afhankelijk, afhankelijk van de activiteitensector, de omvang en omzet van het bedrijf.
Sancties en risico’s voor bedrijven bij niet-naleving
De niet-naleving van de NIS2-richtlijn kan leiden tot financiële sancties en administratieve maatregelen. Bedrijven die niet voldoen aan de cyberbeveiligingsvereisten in de richtlijn kunnen hoge boetes krijgen van € 10 miljoen of 2% van de wereldwijde omzet, waarbij het hoogste bedrag als basis wordt genomen.
Bedrijven die deze regels niet naleven, kunnen ook administratieve maatregelen opgelegd krijgen, zoals bijkomende audits of regelmatige inspecties.
Het is belangrijk om te benadrukken dat de verschillen tussen EU-lidstaten in de toepassing van de richtlijn het risico op niet-naleving kunnen vergroten. Sommige rechtsgebieden leggen strengere straffen op dan andere. Hierdoor wordt het voor bedrijven nog belangrijker om de cyberbeveiligingsvereisten van de richtlijn te begrijpen en na te leven, waar ze ook actief zijn.
Wilt u meer weten over de verplichtingen die de richtlijn oplegt en hoe u cyberbestendiger kunt worden? Blijf onze blog volgen!