.svg){kind=small}
.svg){kind=small}
.svg){kind=small}
Inleiding: een nieuw IT-beveiligingsparadigma
De NIS2-richtlijn, die op 17 januari 2023 (16 oktober in Italië) in werking is getreden, betekent een ingrijpende verandering ten opzichte van de vorige NIS-richtlijn. Dit regelgevingskader is gericht op het creëren van een gemeenschappelijke cyberstrategie voor alle EU-lidstaten, met als hoofddoel het verhogen van het beveiligingsniveau van digitale diensten in de hele EU.
Het implementatieseizoen van de Europese NIS2-richtlijn is officieel begonnen en betekent een meer dan significante verandering in de benadering van informatiebeveiligingsbeheer.
Hoewel we de communicatieve inspanning van het National Cybersecurity Agency (NCA) waarderen, die het aspect van het repressieve en sanctionerende proces op de tweede plaats zet ten opzichte van het bevorderen van actieve participatie, is het duidelijk dat het proces van het implementeren van de doelstellingen van de richtlijn niet alleen kan worden opgelost in een formele gehoorzaamheid aan het beveiligingsbeheersysteem - wat gewoonlijk 'papieren beveiliging' wordt genoemd - maar in plaats daarvan een aanzienlijke inspanning vereist om concrete en duurzame beveiligingsdoelstellingen te definiëren.
De uitbreiding van de perimeter: wie is betrokken bij NIS2
De NIS2-richtlijn is een belangrijke stap in de richting van meer cyberveiligheid en veerkracht in heel Europa. Als het gaat om verordeningen en richtlijnen, zien veel bedrijven compliance als het uiteindelijke doel: iets waar ze aan moeten voldoen door te voldoen aan de minimale vereisten. Dit moet echter worden gezien als het startpunt voor het bereiken van een hoger niveau van cyberbeveiliging.
De NIS2-richtlijn vloeit voort uit een ingrijpende herziening van de NIS en markeert een nieuwe belangrijke stap in de richting van de volledige definitie van de Europese cyberstrategie, die voorziet in adequate gecoördineerde en innovatieve reacties van de lidstaten om de continuïteit van digitale diensten te waarborgen in het geval van beveiligingsincidenten.
NIS2 breidt het toepassingsgebied aanzienlijk uit ten opzichte van de vorige NIS-richtlijn en omvat cruciale sectoren zoals afvalbeheer, vervoer, de voedingsindustrie, drinkwatervoorziening en -distributie, digitale infrastructuur, openbaar bestuur, productie, onderzoek en ontwikkeling van geneesmiddelen en medische apparatuur, en de ruimtevaartsector.
Wetgevingsdecreet 138/2024, dat de NIS2-richtlijn omzet in Italiaans recht, bepaalt dat de bepalingen vanaf 16 oktober 2024 van toepassing zijn.
De verordening is niet van toepassing op kleine bedrijven , tenzij de entiteit wordt aangemerkt als 'kritiek' in de zin van de RCE-richtlijn, een aanbieder van openbare elektronische communicatienetwerken, een aanbieder van vertrouwensdiensten, of tot andere specifieke categorieën behoort die als essentieel worden beschouwd.
NIS2 is ook van toepassing op bedrijven met minder dan 50 werknemers als zij een essentiële dienst verlenen in een lidstaat, als hun dienst cruciaal is voor de openbare veiligheid, beveiliging of gezondheid, of als zij deel uitmaken van de toeleveringsketen van een essentieel of belangrijk bedrijf.
De belangrijkste kritieke punten voor ondernemingen
1. Complexiteit van het gelaagde model en classificatieproblemen
Deze operationele complexiteit wordt weerspiegeld in de keuze van de Italiaanse wetgever voor een 'gelaagd' model. De eerste laag is de standaardlaag, d.w.z. van de essentiële of belangrijke onderwerpen, die de omvanglimieten voor kleine ondernemingen overschrijden. De tweede laag bestaat uit de entiteiten die, ongeacht hun grootte of omzet, in specifieke voorgeschreven categorieën vallen.
Een belangrijk probleem betreft de feitelijke meting van het omvangaspect, vanwege de verwijzing naar het begrip 'verbonden ondernemingen' waarover in de bedrijfswereld niet altijd absolute duidelijkheid bestaat.
De band tussen twee of meer ondernemingen staat in theorie los van de intentie om een echte geformaliseerde groep te vormen, met als gevolg dat entiteiten die, zelfs als ze afzonderlijk worden beschouwd, de in de regel vastgestelde omvangslimieten niet zouden bereiken, van de groep van kleine en middelgrote ondernemingen worden uitgesloten.
2. Economische en organisatorische lasten
Wanneer we van de idealiteit van het proces afdalen naar de concrete aanpak, is de kwestie iets anders, omdat het botst met de economische dimensie van een land waarvan de fundamentele structuur bestaat uit een groot aantal kleine en middelgrote ondernemingen. Dit vormt een belangrijke uitdaging bij de implementatie van NIS2, die voor kleinere realiteiten buitensporig belastend zou kunnen zijn.
De sancties van de NIS2-richtlijn, die zijn ingesteld om de cyberveiligheid van de Europese Unie te verbeteren, zijn puur administratief en strafrechtelijk. Essentiële exploitanten kunnen worden onderworpen aan administratieve boetes tot 10 miljoen euro of 2 procent van de totale wereldwijde omzet. Grote exploitanten kunnen aan de andere kant boetes opgelegd krijgen tot 7 miljoen euro of tot 1,4 procent van de totale wereldwijde omzet.
3. Verantwoordelijkheid van het management
Het wetgevingsdecreet introduceert een zekerheid: er komt een verantwoordelijkheid van de beheers- en bestuursorganen. De bestuursorganen van bedrijven zullen worden opgeroepen om een actieve rol te spelen bij de naleving van de wetgeving, ze zullen de implementatie van maatregelen voor het beheer van veiligheidsrisico's moeten goedkeuren, toezicht moeten houden op de naleving van de verplichtingen die in de wetgeving zijn vastgelegd en aansprakelijk kunnen worden gesteld voor overtredingen.
4. Rapportage van incidenten en risicobeheer
Het omzettingsdecreet versterkt de vereisten voor het melden van incidenten en bepaalt dat incidenten die een aanzienlijke impact hebben op de dienstverlening zonder onnodige vertraging aan het CSIRT Italië moeten worden gemeld. Het meldingsproces voorziet in strikte termijnen: een prenotificatie binnen 24 uur, een melding binnen 72 uur na de gebeurtenis en een eindrapport binnen een maand na de gebeurtenis.
De NIS2-richtlijn stelt een aantal belangrijke eisen waaraan organisaties moeten voldoen om een hoog niveau van cyberbeveiliging te garanderen. Deze vereisten omvatten: risicoanalyse en beleid voor de beveiliging van informatiesystemen, strategieën voor het beoordelen van de effectiviteit van risicobeheersmaatregelen, en basispraktijken voor digitale hygiëne en cyberbeveiligingstraining.
5. Focus op de toeleveringsketen
Het blijkt dat de wetgeving tot omzetting van de NIS2-richtlijn zich niet alleen richt op de sectoren die als zeer kritisch of kritiek worden beschouwd, maar met een vooruitziende blik ook op hun toeleveranciers, waardoor het aantal onderwerpen waarop de toepassing van het wetgevingsdecreet waarschijnlijk van invloed zal zijn, aanzienlijk wordt uitgebreid.
De NIS 2-richtlijn bepaalt dat verplichte entiteiten passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de beveiligingsrisico's voor informatiesystemen en netwerken te beheren, waarbij ook aandacht moet worden besteed aan de beveiliging van de toeleveringsketen, met inbegrip van de beveiligingsaspecten van de relatie tussen elke entiteit en haar directe leveranciers of dienstverleners.
Belangrijke deadlines
Zo begint de race naar naleving, die in oktober 2026 moet zijn voltooid. Begin 2025 moeten bedrijven die zijn geïdentificeerd als NIS2-onderwerpen operationeel zijn met alle geplande maatregelen, waaronder IT-beveiligingsbeheersystemen en beheersverantwoordelijkheden. Tegen mei 2025 moeten ondernemingen hun gegevens bijwerken in het institutionele platform. In januari 2026 treedt de formele verplichting in werking om belangrijke incidenten tijdig te melden, en in september 2026 moeten organisaties alle vereiste beveiligingsmaatregelen hebben geïmplementeerd.
Vanaf 16 oktober 2024 is de nieuwe verordening inzake netwerk- en informatiebeveiliging (NIB) van kracht. ACN is de voor netwerk- en informatiebeveiliging bevoegde autoriteit en het enige contactpunt. Van 1 december 2024 tot 28 februari 2025 moeten middelgrote en grote ondernemingen, in sommige gevallen ook kleine en micro-ondernemingen, en overheidsinstellingen waarop de nieuwe wetgeving van toepassing is, zich registreren op het serviceportaal van ACN.
Conclusie: een noodzakelijke maar uitdagende paradigmaverschuiving
Door de toenemende onderlinge verbondenheid en digitalisering van de samenleving worden instellingen, bedrijven en burgers steeds meer blootgesteld aan cyberdreigingen.
Het topmanagement van het National Cybersecurity Agency heeft publiekelijk toegezegd dit proces duurzaam te maken, wat echt een keerpunt kan betekenen voor het vermogen van het land om met de groeiende dreigingen om te gaan. Het zal afwachten zijn hoe het productieve en administratieve weefsel van het land in staat zal zijn om te reageren op wat overduidelijk een diep cultureel keerpunt is en wat, zoals intuïtief te zien is, noch een wandeling in het park noch 'kostenneutraal' zal zijn.
Aanpassing aan NIS2 is daarom niet alleen een kwestie van voldoen aan de norm, maar kan ook een goede gelegenheid zijn om een beveiligingscultuur en technische en organisatorische best practices in het bedrijf te introduceren, wat het niveau van IT-beveiliging aanzienlijk kan verhogen. Het is echter belangrijk om meteen te beginnen met het opstellen van een aanpassingsplan om de verschillende bedrijfsmiddelen en het personeel stapsgewijs in lijn te brengen met de juiste periodieke trainingscycli.
Zelfs als u niet behoort tot de bedrijven die verplicht zijn om te voldoen aan de NIS2-richtlijn, is het starten van een bewustwordingscursus over cyberrisico's belangrijk om de toekomst van uw bedrijf te beschermen.
NIS2 vormt daarom een complexe maar noodzakelijke uitdaging voor Italiaanse bedrijven. Hoewel het nieuwe verplichtingen en verantwoordelijkheden oplegt die lastig kunnen lijken, biedt het ook de mogelijkheid om IT-beveiliging te heroverwegen als een strategisch element en niet alleen als een kostenpost.
