De Directive on Security of Network and Information Systems, of kortweg NIS Directive, bestaat al een tijdje. Hoewel het tegen mei 2018 moest omgezet worden in de wetten van elke lidstaat, is het al sinds augustus 2016 in omloop. Deze Directive omvat regels en vereisten omtrent cyber security binnen de EU. Het is opgedeeld in 3 delen: de bekwaamheid van de lidstaat, samenwerking met andere staten over de grenzen heen, en het toezicht van de staat op kritieke sectoren. De Europese Commissie heeft besloten om deze Directive te herbekijken en enkele aanpassingen door te voeren, aangezien het Directive al een tijdje bestaat en de dingen snel veranderen in de digitale wereld.
Het NIS 2 Directive zal dus een aangepaste versie zijn van het NIS Directive, dat focust op diverse maatregelen voor een algemeen hoog niveau van cyber security, terwijl het nieuwe Directive vooral om kritieke sectoren draait.
Zal het NIS 2 Directive effect hebben op u en uw organisatie?
Eerst en vooral lijsten we graag even de nieuwe sectoren op die toegevoegd zullen worden aan het nieuwe Directive. Naast gezondheidszorg, transport, de financiële sector, digitale infrastructuur, water- en energievoorziening en digitale service providers zullen ook de volgende sectoren moeten voldoen aan de regels van het NIS 2:
- Publieke elektronische communicatie netwerken en service providers
- Afvalwater en afvalbeheer
- Voedselindustrie
- Productie van kritische producten (pharma, medische producten, chemicaliën, …)
- Ruimtevaart
- Digitale services (sociale netwerken, data center services)
- Post- en koerierdiensten
- Publieke administratie
Het NIS Directive wil 3 grote punten verbeteren binnen Europa: capability, samenwerking en het risicobeheer van cybersecurity. Deze zijn niet veranderd, maar uitgebreid. Hieronder kan je per punt de wijzigingen raadplegen:
- Capabilities: In plaats van enkel de cybersecurity bekwaamheden te verbeteren moet u nu ook betere maatregelen en handhaving voor supervisie introduceren. Er zal een lijst met administratieve sancties zijn, waaronder boetes voor het schenden van de regels. Tot slot zijn er ook verplichtingen om bepaalde activiteiten te rapporteren.
- Samenwerking: In het begin was er enkel samenwerking tussen de verschillende lidstaten, maar nu wil de Commissie een cybersecurity verbinding opzetten om grootschalige incidenten te ondersteunen. Ze willen ook dat er meer informatie gedeeld wordt tussen de autoriteiten van de lidstaten. Tot slot willen ze dat nieuwe kwetsbaarheden binnen de EU gecoördineerd geopenbaard worden.
- Risicobeheer voor cybersecurity: In het eerste Directive stond dat essentiële diensten en digitale service providers actief aan risicobeheer moest doen. Dat betekende onder andere dat men de overheid op de hoogte moest stellen van significante incidenten. Nu zal de Commissie dat wijzigen naar een lijst van maatregelen (incident response, crisismanagement, omgaan met kwetsbaarheden, …) voor een sterkere beveiliging. De hogere verantwoordelijkheid komt ook aan bod. Dit moet ervoor zorgen dat bedrijven voldoen aan de risicobeheermaatregelen. Tot slot moet men ook een gestroomlijnd rapport met incidenten voorzien.
De organisatorische veiligheidsmaatregelen van het huidige NIS Directive zijn nog steeds van kracht. Indien uw organisatie onder de reikwijdte van het NIS Directive valt, moet u onder andere een information security policy opmaken, of u kunt uw ISO certificaat hanteren om uw nakoming aan te tonen.
ePrivacy Directive wordt Regulation
Sinds januari 2017 wordt er genegotieerd om het ePrivacy Directive te vervangen door de ePrivacy Regulation. Tot op heden nog steeds een work in progress. Een bindende gecentraliseerde wet zal voor elke lidstaat in voege treden. De ePrivacy Regulation gaat over de privacy en databescherming van persoonlijke data in elektronische communicatie.
Tot op vandaag zijn de Europese Raad en de Europese Commissie het nog steeds niet akkoord over significante problemen. Zo is er bijvoorbeeld nog steeds discussie over de definitie van “ongewenste telefoontjes”, “direct marketing” en over de reikwijdte van de Regulation. We proberen echter de meest belangrijke wijzigingen op te sommen, en te schetsen hoe deze uw organisatie kunnen beïnvloeden.
De volgende wijzigingen worden voorgesteld in de ePrivacy Regulation. Het is goed om te weten dat de Regulation een aanvulling is op de GDPR-wetgeving, en dat de Regulation voorrang heeft wanneer beide van toepassing zijn.
- Territoriale reikwijdte: Alle gebruikers binnen de Europese Unie. Bedrijven die EU gebruikersdata verwerken buiten de Unie vallen ook onder de Regulation. Wanneer het bedrijf niet gevestigd is in de EU moet er een vertegenwoordiger aangeduid worden in een EU-lidstaat.
- Cookies: Nieuwe regels moeten zorgen voor een aangenamere internetervaring terwijl de privacy en persoonlijke data nog steeds goed beschermd worden. Men moet toestemming geven voor bepaalde cookies via de instellingen van de internet browser. Daarnaast zal men niet langer toestemming meer moeten geven om gegevens anoniem te verwerken. Op deze manier zou het aantal cookie walls aanzienlijk moeten dalen.
- Elektronische communicatie data: De Regulation verklaart dat men eerst toestemming moet verkrijgen alvorens deze data te mogen verwerken. Er zijn echter een aantal uitzonderingen. De toestemming is niet nodig wanneer de data nodig is om het overdragen van communicatie te garanderen, om te voldoen aan een verplichte servicekwaliteit, of wanneer het noodzakelijk is voor facturering/berekeningen van betalingen/het detecteren of stoppen van frauduleus gebruik van de service.
De ePrivacy Regulation is momenteel nog steeds een draft. Eind 2021 vonden opnieuw verschillende discussies plaats om enkele hoofdstukken af te ronden en de volgende stappen te kunnen zetten. Wordt vervolgd …
Hoe kunnen wij u helpen?
Spotit biedt verschillende assessments aan die u kunnen helpen te voldoen aan de nieuwe regels van de NIS 2 en ePrivacy. Zo hebben we bijvoorbeeld een specifieke ePrivacy audit en een NIS audit. Maar ook ons ISO 27k assessment kan u helpen een beter inzicht te verkrijgen in uw voldoening omtrent informatiebescherming.