Of het nu gaat om vervoer, energie, gezondheid of financiën - veel aspecten van ons dagelijks leven zijn steeds afhankelijker van digitale technologieën. Digitale infrastructuur en dataverkeer zijn tegenwoordig essentieel voor veel overheidsdiensten en houden de samenleving en economie draaiende. Tegelijkertijd neemt het aantal cyberaanvallen sterk toe. Ziekenhuizen, scholen en openbare instellingen zijn regelmatig het doelwit van cybercriminelen, in sommige gevallen zelfs met ernstige gevolgen. Als antwoord hierop heeft de Europese Unie de NIS2-richtlijn ingevoerd, waardoor organisaties te maken krijgen met aanvullende eisen op het gebied van cybersecurity.
Ralf Koenzen, oprichter en managing director van LANCOM Systems: “Dat de EU de Europese cyberruimte veiliger wil maken met uniforme normen is een logische stap. De NIS2-richtlijn, die op 16 januari 2023 in werking is getreden, gaat veel verder dan de NIS die sinds 2016 van kracht is. In de toekomst zullen veel meer sectoren en entiteiten als ‘essentieel’ of ‘belangrijk’ voor de economie en samenleving worden beschouwd, dus ook openbare instellingen. Ook zullen bedrijven met meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen euro onder de regelgeving vallen als zij cruciaal zijn.
Vanaf oktober 2024 - wanneer de richtlijn volledig in nationale wetgeving moet zijn omgezet - zullen alle ‘essentiële’ en ‘belangrijke’ bedrijven aan bepaalde cybersecurity-eisen moeten voldoen. Denk hierbij aan concepten voor risicoanalyse, IT-beveiliging en toegangscontrole. Of maatregelen om security-incidenten tegen te gaan en de bedrijfsvoering te waarborgen, inclusief documentatie- en rapportageplicht. De belangrijkste verandering is dat er sancties kunnen worden opgelegd. Bij niet-naleving kunnen managers en leidinggevenden persoonlijk aansprakelijk worden gesteld. Boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet liggen in het verschiet.
De EU maakt van cybersecurity dus een topprioriteit. En terecht, want er staat veel op het spel: digitale infrastructuur is van cruciaal belang. Veilige, betrouwbare informatiesystemen zijn een sleutelfactor voor de economische en strategische onafhankelijkheid van de EU. Uiteindelijk gaat het er ook om de soevereiniteit van Europa te versterken door een veilige digitale basis te creëren.
Voldoen aan de strengere cybersecurity-eisen zal echter niet eenvoudig zijn, vooral voor bedrijven die nog niet onder de regelgeving vallen. Met name kleinere bedrijven beschikken vaak niet over voldoende personeel en technische vaardigheden. Hetzelfde geldt voor bepaalde overheidsinstanties. Voor hen zal het nauwelijks mogelijk zijn om op eigen kracht tijdig aan de nieuwe eisen te voldoen.
Toch geeft de EU met NIS2 het juiste signaal af: gezien de geopolitieke spanningen en het belang van een goed functionerende IT-infrastructuur voor onze samenleving, moet de beveiliging ervan een topprioriteit zijn. De voortrekkersrol die de EU nu op zich neemt door plannen op te stellen die voor de hele Unie gelden, is dan ook meer dan welkom.”
