Met nog maar een week te gaan tot de nieuwe cyberbeveiligingsregels van de EU van kracht worden, hebben alleen België en Kroatië de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2) geheel of gedeeltelijk aangenomen. Deze cruciale wetgeving is bedoeld om kritieke sectoren zoals energie, transport en het bankwezen te beschermen tegen cyberdreigingen. De overige 25 EU-landen staan voor een race tegen de klok om deze maatregelen, die strenge rapportage-eisen en mogelijke boetes tot €10 miljoen bij niet-naleving bevatten, te implementeren. Experts uit de sector waarschuwen voor een wijdverspreide onwetendheid onder de betrokken entiteiten en benadrukken de dringende behoefte aan actie om de cyberweerbaarheid van de EU te versterken in een steeds digitaler wordend landschap.
Een dringende deadline
Nu de deadline van 17 oktober nadert, staat de EU voor een grote uitdaging. De NIS2-richtlijn, die de regels voor cyberbeveiliging uit 2016 actualiseert, vereist dat lidstaten hun kaders voor cyberbeveiliging versterken. Deze richtlijn vereist een hoge mate van paraatheid van de lidstaten en vereist de oprichting van Computer Security Incident Response Teams (CSIRT’s) en nationale instanties voor netwerk- en informatiesystemen (NIS).
De inzet van niet-naleving
Niet-naleving van de NIS2-richtlijn heeft ernstige gevolgen. Bedrijven die niet voldoen aan de eisen van de richtlijn kunnen boetes krijgen tot €10 miljoen of 2% van hun wereldwijde omzet, afhankelijk van welk bedrag hoger is. Deze strenge boetes onderstrepen de inzet van de EU om de veerkracht van cyberspace te vergroten. De uitdaging ligt echter in het wijdverspreide gebrek aan bewustzijn onder entiteiten die nu onder het toepassingsgebied van de richtlijn vallen. Een Frans parlementair verslag geeft aan dat veel van de bijna 15.000 entiteiten die onder NIS2 vallen, niet op de hoogte zijn van de vereiste nalevingsmaatregelen.
Grotere kwetsbaarheid in belangrijke sectoren
De dringende noodzaak om de NIS2-richtlijn vast te stellen wordt versterkt door recente bevindingen over de kwetsbaarheden op het gebied van cyberbeveiliging in de EU. In een verslag dat op 10 oktober 2024 is uitgebracht, wordt gewezen op kritieke kwetsbaarheden in de telecommunicatie- en energiesectoren, waarbij met name zwakke plekken in de toeleveringsketen van 5G-netwerken en infrastructuren voor hernieuwbare energie zorgwekkend zijn. Deze zwakke plekken, in combinatie met een tekort aan cyberbeveiligingsprofessionals, vormen een aanzienlijk risico voor de cyberinfrastructuur van de EU.
Om deze kwetsbaarheden aan te pakken, heeft de EU uitgebreide maatregelen voorgesteld, waaronder voortdurende risicobeoordelingen en strategieën om de veerkracht te vergroten. Lidstaten worden aangespoord om zelfbeoordelingen uit te voeren in overeenstemming met de NIS2- en CER-richtlijnen inzake cyberbeveiliging, met als doel het collectieve bewustzijn van de cybersituatie en de beveiliging van de toeleveringsketen te verbeteren[4]. De op handen zijnde implementatie van de Digital Operational Resilience Act (DORA) tegen januari 2025 onderstreept nog eens de inzet van de EU om de cyberbeveiliging in kritieke sectoren te verbeteren.
Als je dit artikel leuk vindt, lees dan ook:
