De afgelopen decennia is de maatschappij, inclusief kritische sectoren als vervoer, energie, gezondheidszorg en financiën, steeds afhankelijker geworden van digitale technologieën om kernactiviteiten uit te voeren. Hoewel de toenemende digitale connectiviteit enorme kansen biedt, stelt zij economieën en samenlevingen ook bloot aan cyberdreigingen. Het aantal, de complexiteit en de omvang van cyberincidenten nemen toe, evenals hun economische en sociale impact. De wereldwijde schadepost door ransomware alleen al bedroeg in 2021 naar schatting US$ 20 miljard.[1]
NIS-richtlijn
De Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, beter bekend als de ‘NIS-richtlijn’, was het eerste stuk EU-wetgeving op het gebied van cyberbeveiliging. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Hoewel de NIS-richtlijn de cyberbeveiligingscapaciteiten van de EU-lidstaten sterk heeft vergroot, biedt de huidige richtlijn onvoldoende antwoord op de toenemende dreigingen die verband houden met de verdere digitalisering van de maatschappij, waaronder de sterke toename van cyberaanvallen.
Nieuwe richtlijn: NIS2
In december 2020 heeft de Europese Commissie daarom een voorstel ingediend, dat een jaar later grotendeels door de Raad is overgenomen[2], om de NIS-richtlijn te vervangen. In de nieuwe NIS2-richtlijn moeten de beveiligingseisen aangescherpt, de beveiliging van toeleveringsketens aangepakt de rapportageverplichtingen gestroomlijnd en strengere toezichtmaatregelen en handhavingsvereisten ingevoerd worden, waaronder geharmoniseerde sancties in de hele EU. Het voorstel kent ook een uitgebreid toepassingsgebied, waarbij meer entiteiten en sectoren worden verplicht maatregelen te nemen. Dit alles zou het niveau van cyberbeveiliging in Europa op de langere termijn moeten verhogen.
In dit artikel schetsen wij de hoofdpunten van de NIS2-richtlijn, waarna we enkele praktische vragen en tips voor bedrijven en bedrijfsjuristen behandelen.
Door de NGB Werkgroep Digitalisering, op voorzet van mr. Jasper Langezaal, mr. Melissa Theunissen en mr. Martin Woodward