De NIS1 directive stamt uit 2016 maar de implementatie laat te wensen over. De directive is vertaald naar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni, 2018) in Nederland met daarin aandacht voor meldplicht en zorgplicht. Het EU-bedrijfsleven is echter niet weerbaar genoeg gebleken voor de toegenomen cyberdreigingen en bovendien is de weerbaarheid ongelijk verdeeld over lidstaten en sectoren. Ook bleek dat er geen gezamenlijk beeld bestaat over de bedreigingen en uitdagingen voor de EU.
Daarom is de NIS-2 richtlijn ontwikkeld welke in januari 2023 in werking is getreden, met daarin meer aandacht voor 1. zorgplicht, 2. meldplicht en 3. toezicht. Veel meer sectoren vallen onder NIS2 dan voorheen met NIS1 en de update dwingt organisaties tevens tot dialoog met leveranciers.
NIS2 maakt tevens onderscheid tussen ‘essentiële’ en ‘belangrijke’ organisaties: belangrijke organisaties krijgen te maken met minder strenge regelgeving dan vitale organisaties maar krijgen wel te maken met toezicht en meldplicht. Klik hier voor meer details over de verschillen tussen essentiële en belangrijke organisaties.
Op Europees niveau zal NIS bijdragen aan het:
- Versterken van het Europese Computer Security Incident Response Team (CSIRT) netwerk en de inrichting van een competent nationaal netwerk en information systems (NIS) autoriteit in alle lidstaten.
- Betere informatie-uitwisseling tussen lidstaten middels de NIS cooperation group.
- Een ‘cultuur van veiligheid’ te creëren voor vitale sectoren zoals energie, mobiliteit en gezondheidszorg.
Lidstaten hebben tot oktober 2024 om deze om te zetten in nationale wetgeving wat voor Nederland neerkomt op een update van de Wbni. Voor meer informatie over NIS2 en de impact daarvan op organisaties klik hier.