Maar 2 EU-landen halen deadline voor cyberbeveiliging, anderen krijgen boetes en onzekerheid


Key takeaways

  • Alleen België heeft de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2) volledig geïmplementeerd.
  • Kroatië heeft NIS2 slechts gedeeltelijk omgezet.
  • De overige EU-landen hebben tot 17 oktober de tijd om NIS2 te implementeren.

Alleen België en Kroatië hebben de Europese Commissie formeel laten weten dat ze de bijgewerkte cyberbeveiligingsvoorschriften voor kritieke entiteiten naleven. Deze kennisgeving komt een week voor de deadline die voor alle 27 EU-lidstaten is vastgesteld. Een woordvoerder van de Commissie bevestigde dit en verklaarde dat België de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2) volledig heeft geïmplementeerd, terwijl Kroatië dit slechts gedeeltelijk heeft gedaan.

De overige landen hebben tot 17 oktober de tijd om NIS2 te implementeren, dat in 2022 werd goedgekeurd om kritieke sectoren zoals energie, transport, financiën, water en digitale infrastructuur te beschermen tegen grote cyberaanvallen. In maart kondigde Kroatië als eerste en enige land de gedeeltelijke omzetting aan bij de Commissie.

Kernbepalingen van NIS2

De herziene richtlijn is bedoeld om de veerkracht van cyberbeveiliging in heel Europa te vergroten als reactie op de toenemende digitalisering en veranderende dreigingen. De vorige NIS1-richtlijn, die in 2016 werd geïntroduceerd, bleek ontoereikend om de veerkracht van EU-bedrijven op het gebied van cyberbeveiliging te vergroten en gezamenlijk crisisbeheer te bevorderen.

NIS2 verplicht bedrijven om binnen 24 uur waarschuwingen af te geven en binnen 72 uur incidentrapporten te verstrekken na aanzienlijke operationele verstoringen door cyberincidenten. Niet-naleving kan leiden tot hoge boetes tot 10 miljoen euro of 2 procent van de wereldwijde omzet, afhankelijk van welk bedrag het hoogst is.

Uitdagingen bij implementatie

In een recent rapport van de Franse gezamenlijke parlementaire commissie voor digitale en postzaken wordt gewezen op het gebrek aan bewustzijn bij bedrijven over de NIS2-vereisten. De commissie, die tussen maart en mei overleg voerde met belanghebbenden zoals cyberbeveiligingsfunctionarissen, softwareontwikkelaars en cloudverenigingen, concludeerde dat de omzettingstermijn aanzienlijke uitdagingen met zich meebrengt voor entiteiten die net onder de richtlijn vallen.

Het rapport benadrukt dat veel van deze nieuwe entiteiten zich niet bewust zijn van de noodzakelijke maatregelen en criteria die nodig zijn om hun naleving te beoordelen. Daarnaast wordt opgemerkt dat het wetsvoorstel nog moet worden voorgelegd aan de Raad van Ministers, waardoor er onzekerheid bestaat over de toekomst van het wetsvoorstel nu de deadline van 17 oktober nadert. Duitsland is van plan om de NIS2-wetgeving begin 2025 in te voeren.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!

Meer

Ontvang de Business AM nieuwsbrieven

De wereld verandert snel en voor je het weet, hol je achter de feiten aan. Wees mee met verandering, wees mee met Business AM. Schrijf je in op onze nieuwsbrieven en houd de vinger aan de pols.