NIS2 is de cyberbeveiligingsrichtlijn van de Europese Unie, die voortbouwt op zijn voorloper om een betere bescherming en veerkracht te garanderen. In dit blogartikel nemen we de nationale implementatie die vereist is door de NIS2-richtlijn onder de loep en bekijken we de lokale wetten: welke zijn beschikbaar op Cyberday en hoe verschillen ze van de Europese richtlijn?
De NIS2-richtlijn is een bijgewerkte versie van de oorspronkelijke NIS-richtlijn, die het toepassingsgebied van de oorspronkelijke richtlijn uitbreidt en tot doel heeft de cyberbeveiliging in de hele Europese Unie te versterken. De NIS2-richtlijn is van toepassing op een groot aantal sectoren die cruciaal zijn voor het functioneren van de economie, zoals energie, transport, water, voedsel, gezondheid, financiën, beheerders van digitale infrastructuur, de verwerkende industrie en vele andere.
Voorjaar 2024 publiceerden we een e-book over NIS2 klaar met ISO 27001 best practices. In ons gratis e-book leiden we je door de wereld van NIS2, de inhoud van de richtlijn en geven we je praktische tips over hoe je naleving kunt bereiken. Haal het uwe hier op: cyberday.ai/ebook
.png)
De EU-lidstaten moesten de NIS2-richtlijn uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet. Veel lidstaten hebben de deadline niet gehaald, maar er wordt vooruitgang geboekt en de meeste landen zullen hun wetgeving naar verwachting binnenkort afronden. De richtlijn breidt de sectoren die onder de richtlijn vallen uit en verscherpt de eisen voor risicobeheer, het melden van incidenten en cyberbeveiligingsmaatregelen, waaronder strengere normen voor het melden van incidenten en voor de beveiliging van de toeleveringsketen.
De belangrijkste beslissingen op nationaal niveau hebben betrekking op het definiëren van lokale autoriteiten, implementatie en monitoringdetails. De richtlijn stelt minimale controlemethoden vast en staat alleen aanvullingen op nationaal niveau toe. Overwegingen zijn onder andere:
In NIS2 wordt sterk de nadruk gelegd op de rol van overheidsinstanties bij het waarborgen van de cyberveiligheid van kritieke diensten en kritieke infrastructuur in de Europese Unie en op de behoefte aan meer samenwerking tussen overheidsinstanties in de EU-lidstaten.
In de nationale wetgeving moet worden gespecificeerd welke autoriteiten verantwoordelijk zijn voor het toezicht op de tenuitvoerlegging van NIS2 in het betreffende land, en of het toezicht bijvoorbeeld is verdeeld over verschillende autoriteiten op basis van hun bevoegdheidsgebieden. Landen moeten lokale autoriteiten aanwijzen om toe te zien op de naleving van de NIS2-regels: dit betekent dat er nationale toezichthoudende autoriteiten moeten worden aangewezen of dat er nieuwe toezichthoudende teams moeten worden opgericht voor sectoren als energie, gezondheid en vervoer.
NIS2 stelt duidelijke en strenge eisen aan de tenuitvoerlegging en het toezicht om ervoor te zorgen dat zowel organisaties als lidstaten de voorschriften naleven. De lidstaten moeten controlemaatregelen tegen belangrijke actoren afdwingen die doeltreffend, evenredig en afschrikkend zijn, rekening houdend met de specifieke omstandigheden van elk geval. Als uit monitoring blijkt dat een belangrijke actor de regels mogelijk niet naleeft, moeten de autoriteiten passende maatregelen nemen, waaronder, indien nodig, controlemaatregelen achteraf. Daarnaast moeten landen teams oprichten om cyberbeveiligingsincidenten te behandelen en te onderzoeken waar nodig.
Volgens NIS2 moet een organisatie goed gedefinieerde beleidsregels hebben om risico's voor informatiebeveiliging te beheren, de effectiviteit van beveiligingsmaatregelen te beoordelen en belangrijke gebieden voor verbetering te identificeren.
De NIS2-richtlijn identificeert specifiek de volgende gebieden van informatiebeveiliging waarvoor de organisatie haar acties moet documenteren en implementeren, en het management van de organisatie is verantwoordelijk voor de toereikendheid van deze acties:
Elk land moet ervoor zorgen dat organisaties maatregelen nemen om risico's te beheersen. Deze maatregelen omvatten het waarborgen van de veiligheid van toeleveringsketens en het zorgvuldig evalueren van risico's.
Volgens NIS2 moeten belangrijke incidenten worden gemeld aan de nationale toezichthoudende autoriteit, dus de nationale wetgeving bepaalt wanneer en hoe incidenten moeten worden gemeld. NIS2 stelt dus de basisnormen vast, maar landen kunnen strengere of meer gedetailleerde regels opstellen naargelang hun eigen behoeften.
Op nationaal niveau is het ook mogelijk om verder te gaan dan het toepassingsgebied van de NIS2-richtlijn en specificaties op te stellen op basis van nationale behoeften. Deze afspraken en acties op nationaal niveau zullen ervoor zorgen dat de NIS2-richtlijn wordt afgestemd op de wetgeving van elk land, terwijl er tegelijkertijd een samenhangende aanpak van cyberbeveiliging in de hele EU wordt gehandhaafd.
Dit is de huidige situatie in een notendop:
De Oostenrijkse Netz- und Informationssystemsicherheitsgesetz (NIS-wet) zet de NIS2-richtlijn om in nationale wetgeving. De wet stelt eisen aan het risicobeheer op het gebied van cyberbeveiliging, het melden van incidenten en sectorspecifieke beschermingsmaatregelen voor zowel essentiële als belangrijke entiteiten. De wet sluit nauw aan bij de reikwijdte van NIS2 en beschrijft de nationale toezichtstructuren en samenwerkingsmechanismen. De handhaving wordt geleid door het federale ministerie voor Klimaatactie, Milieu, Energie, Mobiliteit, Innovatie en Technologie (BMKÖ) in coördinatie met de Oostenrijkse Cyber Security Council.
België heeft de NIS2-richtlijn van de Europese Unie omgezet in nationale wetgeving als de NIS2-wet. Deze wetgeving sluit nauw aan bij de EU-richtlijn en bevat slechts kleine nationale aanpassingen. De wet stelt eisen op het gebied van cyberbeveiliging voor bedrijven die actief zijn in kritieke sectoren en geregistreerd zijn in België. De belangrijkste nationale maatregelen omvatten specifieke registratieprocedures en conformiteitsbeoordelingen.
De Bulgaarse wet inzake de toepassing van NIS2 voorziet in een nationaal kader voor het identificeren en beveiligen van essentiële en belangrijke entiteiten in overeenstemming met de NIS2-richtlijn. Er worden specifieke nationale procedures ingevoerd voor registratie, melding van incidenten en sectorale audits, naast versterkte toezichthoudende bevoegdheden. De handhaving wordt gezamenlijk uitgevoerd door het Staatsagentschap voor nationale veiligheid en de Commissie voor de bescherming van persoonsgegevens.
Kroatische implementatie van NIS2 De Cyberbeveiligingswet (Zakon o kibernetičkoj sigurnosti NN 14/2024) is in februari 2024 in werking getreden. Deze wet definieert cyberbeveiligingsregels voor Kroatische bedrijven met dezelfde criteria als NIS2, met enkele uitzonderingen, zoals de opname van aanvullende sectoren, gedetailleerde categorisering van entiteiten, gedefinieerde tijdlijnen voor naleving en gespecificeerde sancties.
De Cyberbeveiligingswet van Cyprus implementeert de NIS2-richtlijn van de EU en bevat verplichtingen voor essentiële en belangrijke entiteiten om risicobeheersmaatregelen te treffen, incidenten te melden en samen te werken met nationale autoriteiten. De wet omvat nationale aanwijzingsprocedures en verduidelijkt sectorspecifieke verantwoordelijkheden. Het Departement Elektronische Communicatie van het Ministerie van Transport, Communicatie en Werken fungeert als primaire toezichthoudende instantie.
De Finse "Kyberturvallisuuslaki" wacht op de laatste goedkeuring, maar kan al worden gebruikt bij de implementatie. De Cyberbeveiligingswet creëert een duidelijk wettelijk kader voor risicobeheer op het gebied van informatiebeveiliging en het melden van incidenten in overeenstemming met de NIS2-richtlijn. De nieuwe wet is bedoeld om de huidige gefragmenteerde Finse wetgeving op het gebied van cyberbeveiliging te harmoniseren met de EU-brede normen die door NIS2 zijn geïntroduceerd. De reikwijdte van de eisen op het gebied van risicobeheer en rapportage wordt uitgebreid en het aantal bedrijven en overheidsinstellingen dat hieraan moet voldoen wordt verduidelijkt. De Cyberbeveiligingswet gaat uit van het minimumniveau van de richtlijn en definieert voornamelijk de punten die overeenkomen met de inhoud van de richtlijn. De Cybersecuritywet voegt niets toe aan het toepassingsgebied van de NIS2-richtlijn, noch aan de controlemiddelen.
De Duitse wet inzake de implementatie van NIS2 en de versterking van de cyberbeveiliging zet de EU-richtlijn om in nationale handhavingsmaatregelen, waaronder strengere termijnen voor het melden van incidenten, zwaardere straffen en een bredere sectorale werkingssfeer op sommige gebieden. Het Bundesamt für Informationssicherheit (BSI) fungeert als belangrijkste toezichthoudende instantie, ondersteund door toezichthouders op deelstaatniveau voor bepaalde sectoren.
Griekenland heeft zijn NIS2-implementatie aangenomen, waarmee de verplichtingen op het gebied van cyberbeveiliging voor kritieke sectoren als energie, vervoer en digitale infrastructuur worden aangescherpt. De wet sluit nauw aan bij de EU-richtlijn, maar introduceert ook extra processen voor toezicht en controle op de naleving. De handhaving wordt uitgevoerd door de Hellenic National Cybersecurity Authority, die samenwerkt met sectorale regelgevers.
Met de Ierse National Cyber Security Bill 2024 wordt de NIS2-richtlijn omgezet in Ierse wetgeving. De wet bevat verplichtingen voor risicobeheer en het melden van incidenten voor essentiële en belangrijke entiteiten, met nationale procedures voor registratie en toezicht op naleving. Het National Cyber Security Centre (NCSC), dat onder het ministerie van Milieu, Klimaat en Communicatie valt, is de belangrijkste handhavingsinstantie.
De Italiaanse Cyberbeveiligingswet (Wetsdecreet nr. 138) zet NIS2 om met aanvullende maatregelen voor overheidsinstanties en bepaalde particuliere bedrijven. De wet specificeert gedetailleerde nalevingstermijnen, zwaardere straffen en uitgebreide verplichtingen in kritieke sectoren. Het nationale agentschap voor cyberbeveiliging (ACN) is verantwoordelijk voor toezicht en handhaving.
NIS2 is in Letland aangenomen als "Nationale Cyberveiligheidswet". De wet verbetert de beveiliging van informatie- en communicatietechnologieën en stelt onder andere eisen aan de levering en ontvangst van essentiële en belangrijke diensten en de werking van informatie- en communicatietechnologieën. De wet breidt het toepassingsgebied uit naar zowel organisaties in de publieke als private sector en deelt ze in drie groepen in op basis van kriticiteit.
De wet inzake cyberbeveiliging "Kibernetinio Saugumo Įstatymas" implementeert de NIS2-wet van de Europese Unie in Litouwen. De wet stelt eisen aan verschillende organisaties om hun risicobeheer op het gebied van cyberbeveiliging te versterken. De Litouwse wet introduceert een uitgebreid toepassingsgebied, gedetailleerde implementatietijdlijnen (12 maanden vanaf opname) en gedefinieerde toezichthoudende rollen.
Luxemburgs wetsvoorstel nr. 8364 implementeert de NIS2-richtlijn in nationale wetgeving, met bepalingen voor cyberbeveiligingsverplichtingen, rapportage van incidenten en sectorspecifieke vereisten, met name op het gebied van financiële en digitale infrastructuur. De Hoge Commissie voor Nationale Bescherming (HCPN) zal optreden als de belangrijkste toezichthoudende autoriteit zodra de wet van kracht is.
Malta's wettelijke kennisgeving 71 van 2025 geeft nationale uitvoering aan NIS2 door eisen op het gebied van beveiliging, risicobeheer en rapportage van incidenten op te leggen aan essentiële en belangrijke entiteiten. Het schetst sectorale verantwoordelijkheden en rapportagemechanismen. De Malta Cyber Security Authority houdt toezicht op de implementatie en handhaving.
De Nederlandse Cyberbeveiligingswet is een omzetting van NIS2 met nationale aanpassingen voor incidentafhandeling, sectorale samenwerking en publiek-private coördinatie. De wet is van toepassing op essentiële en belangrijke entiteiten in kritieke sectoren. Het Nationaal Cyber Security Centrum (NCSC), dat onder het ministerie van Justitie en Veiligheid valt, fungeert als leidende handhavingsinstantie.
De Roemeense noodverordening nr. 155/2024 handhaaft de NIS2-richtlijn op nationaal niveau en voegt technische en procedurele vereisten toe voor zowel de publieke als de particuliere sector. Het Nationaal Directoraat voor Cyberveiligheid (DNSC) is verantwoordelijk voor toezicht, handhaving en sectorale coördinatie.
De Spaanse wet inzake cyberbeveiliging zet NIS2 om in nationale procedures voor aanwijzing, toezicht op de naleving en sancties. De wet bevat aanvullende maatregelen voor de overheidssector en versterkt de mogelijkheden om op incidenten te reageren. De nationale raad voor cyberbeveiliging coördineert de handhaving met de relevante sectorale autoriteiten.
De Zweedse Cyberbeveiligingswet implementeert de NIS2-vereisten voor essentiële en belangrijke entiteiten, met sectorspecifieke richtsnoeren en coördinatiemechanismen. Het Zweedse Agentschap voor civiele rampen (MSB) treedt op als de primaire toezichthoudende autoriteit, ondersteund door relevante sectorale regelgevers.
U kunt nu uw nationale wetten activeren op Cyberday! U kunt de algemene EU-versie van de NIS2-richtlijn vinden, evenals de nationale wetten van de landen die onder het NIS2-kader vallen. Activeer de wetgeving van uw keuze met één klik op de knop.
.png)
