De definitieve tekst van de NIS2-richtlijn, formeel bekend als Richtlijn (EU) 2022/2555, is opgezet om een uitgebreid wettelijk kader te bieden voor het verbeteren van de cyberbeveiliging in de hele Europese Unie. De richtlijn is onderverdeeld in verschillende hoofdstukken, die elk verschillende aspecten van cyberbeveiliging behandelen om een hoog gemeenschappelijk niveau van bescherming in alle lidstaten te garanderen.

Structuur en hoofdstukken

1. Essentiële en belangrijke entiteiten: Er zijn twee soorten entiteiten die onder de NIS2-regels vallen (essentiële en belangrijke entiteiten), hoewel het onderscheid tussen beide enigszins vaag is en er een niet-uitputtende lijst wordt gegeven.
2. Nationale cyberbeveiligingsautoriteiten: NIS2 legt de basis voor lidstaten om nationale strategieën voor cyberbeveiliging te ontwikkelen en bepaalt de rol van de bevoegde autoriteiten, waaronder de aanwijzing van autoriteiten voor crisisbeheer op het gebied van cyberbeveiliging en computerbeveiliging. incidentIncident Een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid in gevaar brengt van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) responsteams (CSIRT's).
3. Cyberbeveiliging RisicoRisico Betekent de kans op verlies of verstoring veroorzaakt door een incident en moet worden uitgedrukt als een combinatie van de omvang van een dergelijk verlies of verstoring en de waarschijnlijkheid dat het incident zich voordoet. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) Beheer en rapportage: Alle entiteiten die onder de richtlijn vallen, implementeren robuuste risicobeheersmaatregelen. Deze omvatten regelmatige beoordelingen van risico's op het gebied van cyberbeveiliging, de implementatie van passende beveiligingsmaatregelen en strenge meldingsverplichtingen voor incidenten met een duidelijke gecoördineerde aanpak. KwetsbaarheidKwetsbaarheid Een zwakte, gevoeligheid of tekortkoming van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit. Definitie volgens artikel 6 van Richtlijn (EU) 2022/2555 (NIS2-richtlijn) Openbaarmakingsprocedure (CVD).
4. Toeleveringsketen: De richtlijn benadrukt ook het belang van de beveiliging van de toeleveringsketen en erkent dat kwetsbaarheden in één deel van de toeleveringsketen wijdverspreide gevolgen kunnen hebben.
5. Toezicht en handhaving: De richtlijn beschrijft in detail de toezichts- en handhavingsmechanismen die lidstaten moeten instellen om naleving te garanderen. Dit omvat de bevoegdheden van de bevoegde autoriteiten om audits uit te voeren, sancties op te leggen en de bepalingen van de richtlijn te handhaven. De richtlijn introduceert ook nieuwe elementen zoals peer reviews tussen lidstaten om de samenwerking te verbeteren en een consistente toepassing in de hele EU te garanderen.

De NIS2-richtlijn breidt het toepassingsgebied van zijn voorganger, NIS1, aanzienlijk uit door meer sectoren te bestrijken en strengere eisen op het gebied van cyberbeveiliging in te voeren. Het doel is om een meer geharmoniseerde aanpak van cyberbeveiliging in de EU te creëren, versnippering tegen te gaan en ervoor te zorgen dat kritieke infrastructuur en essentiële diensten beter beschermd zijn tegen cyberdreigingen.