De Europese Unie (EU) timmert hard aan de weg om het cyberweerbaarheidsniveau van Europese bedrijven in essentiële sectoren te verbeteren. Na de introductie van NIS1 in 2016 komt de EU nu met de tweede herziene Richtlijn betreffende de beveiliging van netwerk- en informatiesystemen (NIS2). Deze nieuwe richtlijn omvat meer sectoren die essentieel zijn voor de economie en de samenleving en verduidelijkt welke bedrijven onderdeel zijn van een essentiële sector. Evert Stamhuis, hoogleraar Law & Innovation aan Erasmus School of Law, en Wouter Scherpenisse, promovendus aan Erasmus School of Law, lichten de nieuwe richtlijn en het belang hiervan toe tegenover Arts en Auto.
“Omdat we in Europa zo sterk verbonden zijn, is het van belang dat alle landen op hetzelfde hoge veiligheidsniveau zitten”, begint Stamhuis, “In 2017 werd dat bijvoorbeeld pijnlijk duidelijk toen de Rotterdamse haven door een aanval met gijzelsoftware NotPetya een paar dagen werd platgelegd. Daar had de rest van de EU ook last van.” NIS1 was een goede ontwikkeling in de aanpak van Europese cyberrisico’s, maar bij de implementatie op nationaal niveau ontstonden verschillen tussen lidstaten; zo was de zorg in Duitsland wel een essentiële sector, maar in Nederland niet. Bij de invoer van NIS2 vervalt dat verschil, aangezien de zorg dan in principe vanuit Brussel als essentiële sector wordt aangewezen.
Dat is een logische keuze, vindt ook Scherpenisse: “We zien de dreiging toenemen, ook in de zorg, waar digitalisering bovendien een speerpunt is geworden. Een paar jaar terug werden NHS-ziekenhuizen in Engeland getroffen door een grote cyberaanval. Dat kan in Nederland net zo goed gebeuren.” NIS2 raakt veel bedrijven en zal de administratieve en financiële lasten van bedrijven verhogen, maar Scherpenisse ziet het juist als een kans: “De impact is in potentie vergelijkbaar met de invoering van de AVG, maar de NIS2 moet niet als last uit Brussel worden gezien. Het is een stap naar een digitaal veiliger sector, al zal dat niet voor iedereen zo voelen. Je raakt pas van cyberveiligheid doordrongen als het tekortschiet.”
Bij een eerste blik op de nieuwe richtlijn lijkt het erop dat alleen bedrijven met meer dan vijftig werknemers en een jaaromzet van tien miljoen of meer hun cybersecurity voldoende moeten waarborgen, maar dat zit net iets anders, legt Stamhuis uit: “Dat is het steen in de vijver-effect. Omdat huisartsen, fysiotherapeuten en tandartsen digitaal verbonden zijn met grotere entiteiten, zoals leveranciers van HIS-systemen, moeten ook zij maatregelen nemen. Dat betekent bijvoorbeeld cybersecurity-trainingen volgen en die aanbieden aan het personeel én aantonen dat iedereen die trainingen heeft gedaan.”
Stamhuis pleit ervoor dat bedrijven voordat de wet in Nederland van kracht is al kijken of hun veiligheidsbeleid in lijn is met NIS2: “Is dat niet het geval, dan kun je met de ICT-beheerder kijken wat er nodig is om aan die norm te voldoen.” Scherpenisse vult aan dat de nieuwe wet uiterlijk 17 oktober 2024 van kracht is in Nederland en dat het raadzaam is om aan de cybersecuritynormen van NIS2 te voldoen: “Het handhaven zal niet meteen de dag erna aanvangen, maar de toezichthouder krijgt wel instrumenten om het een en ander af te dwingen. Voor entiteiten die onder het NIS2-regime vallen, kunnen boetes oplopen tot tien miljoen euro of twee procent van de totale jaaromzet.”
- Professor
- Promovendus
- Meer informatie
Klik hier voor het hele artikel van Arts en Auto.