Uitleg over de NIS 2-richtlijn

De lidstaten moeten een of meer bevoegde autoriteiten aanwijzen die verantwoordelijk zijn voor cyberbeveiliging en toezichthoudende taken binnen hun grenzen hebben. De lidstaten moeten er ook voor zorgen dat hun bevoegde autoriteiten over voldoende middelen beschikken.

De Computer Security Incident Response Teams (CSIRT's) spelen een belangrijke rol bij het afhandelen van incidenten, het verzamelen van informatie en bij de communicatie met organisaties. Ze monitoren bedreigingen, analyseren incidenten en delen realtime waarschuwingen en gegevens met hun netwerk en autoriteiten. De aangewezen coördinator van de CSIRT's zal optreden als een betrouwbare tussenpersoon, die de interactie tussen de rechtspersoon die een kwetsbaarheid meldt en de OEM vergemakkelijkt.

Richt zich op het versterken van cyberbeveiliging door samen te werken op nationaal en internationaal niveau. De samenwerkingsgroep faciliteert de uitwisseling van informatie en strategieën tussen de lidstaten.

Het CSIRT-netwerk bestaat uit de nationale CSIRT's en CERT-EU. Zij zullen informatie uitwisselen over de mogelijkheden, kwetsbaarheden, incidenten en bedreigingen van CSIRT. Om cyberdreigingen aan te pakken, zullen de CSIRT's nieuwe methoden voor operationele samenwerking vaststellen, gericht op vroegtijdige waarschuwingen, ondersteuning tijdens cyberaanvallen en planning van reactie op bedreigingen.

Essentiële en belangrijke entiteiten moeten de CSIRT's of bevoegde autoriteiten binnen 24 uur na het bekend worden van een significant incident vroegtijdig waarschuwen. Er zijn verschillende stadia van rapportage, zoals vroegtijdige waarschuwing, incidentmeldingen, tussentijdse rapporten en eindrapporten.

De lidstaten moeten ervoor zorgen dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk en informatiesystemen te beheren. Deze maatregelen voor cyberbeveiligingsrisicobeheer omvatten onder meer beleid inzake risicoanalyse en incidentenbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen en veilige systeemontwikkeling. Andere maatregelen zijn onder meer het beoordelen van de doeltreffendheid van maatregelen voor het beheer van basale cyberhygiënepraktijken, beleid voor het gebruik van cryptografie, beveiliging van personeelszaken en meervoudige authenticatie.

Omvat regels inzake rechtsbevoegdheid en registratieprocedures voor essentiële en belangrijke entiteiten.

Somt de criteria op voor organisaties om te bepalen welk land toezicht op hen houdt. Om deze organisaties in het gaten te houden, wordt een register van hun informatie verzameld en bijgehouden door ENISA (het Agentschap van de Europese Unie voor cyberbeveiliging). De informatie voor het register omvat de naam van de organisatie, het adres van de organisatie, contactgegevens, enz. Bovendien moet een database met domeinregistratiegegevens worden aangemaakt door organisaties die domeinnaamregistratiediensten en TLD-registers aanbieden. Deze database heeft als doel de betrouwbaarheid van Domain Name Services (DNS) te verbeteren.

Organisaties in de Europese Unie delen informatie over cyberbeveiliging met elkaar. De lidstaten zijn verantwoordelijk voor het faciliteren van de uitwisselingen. Zij bepalen welke informatie wordt gedeeld, welke ICT-platforms en tools worden gebruikt en onder welke voorwaarden deze regeling plaatsvindt. Organisaties die zich uit een lopende uitwisseling wensen terug te trekken, dienen de bevoegde autoriteit van de betrokken lidstaat hiervan in kennis te stellen.

De richtlijn moedigt alle organisaties in de Europese Unie aan om CSIRT's of bevoegde autoriteiten vrijwillig op de hoogte te stellen van cyberdreigingen en aanvallen.

De bevoegde autoriteiten van het land zijn verantwoordelijk voor het handhaven van organisaties om te voldoen aan de NIS 2-richtlijn. Inspecties ter plaatse, gerichte veiligheidsaudits en ad hoc controles behoren tot de toezichtsmaatregelen van de bevoegde autoriteiten die in dit hoofdstuk worden besproken. Voor elke overtreding van de richtlijn worden administratieve boetes opgelegd aan organisaties. Daarnaast kunnen de relevante autoriteiten de hulp inroepen van autoriteiten van andere staten voor het toezicht op organisaties die grensoverschrijdend actief zijn.

De Europese Commissie ziet er als een van de uitvoerende machten van de Europese Unie op toe dat de wetgeving van de Unie in al haar landen wordt nageleefd. De Europese Commissie heeft dus de bevoegdheid om gedelegeerde handelingen vast te stellen. Deze bevoegdheid wordt uitgeoefend voor een periode van vijf jaar vanaf 16 januari 2023. Volgens dit hoofdstuk kunnen het Europees Parlement en de Europese Raad de bevoegdheid van de Commissie te allen tijde intrekken. De Europese Commissie mag alleen een gedelegeerde handeling vaststellen zoals vereist op grond van de richtlijn als het Parlement noch de Raad bezwaar maakt. Zij moet deze organen ook op de hoogte stellen zodra zij een gedelegeerde handeling vaststelt

Landen onder de Europese Unie moeten maatregelen aannemen en publiceren om aan deze NIS 2-richtlijn te voldoen en moeten dergelijke maatregelen uiterlijk op 17 oktober 2024 aan de Europese Commissie meedelen. Zij zullen ook beginnen met het implementeren van deze maatregelen vanaf 18 oktober 2024.

De Europese Commissie zal de werking van deze richtlijn evalueren en uiterlijk in oktober 2027 verslag uitbrengen aan het Europees Parlement en de Raad. Deze evaluatie wordt vervolgens om de drie jaar uitgevoerd. Dit verslag bevat een beoordeling van de relevantie van de omvang van de betrokken entiteiten en de in deze richtlijn bedoelde sectoren, subsectoren en soorten entiteiten voor de werking van de economie en de samenleving met betrekking tot cyberbeveiliging. Het kan ook verslagen bevatten van de samenwerkingsgroep en het CSIRT-netwerk.