Vereiste aan de compliance
Met de introductie van de EU-richtlijn 2022/2555, kortweg NIS 2 genoemd, zijn de eisen aan de compliance binnen bedrijven verhoogd. Met NIS 2 wordt gereageerd op de dreiging van cyberaanvallen in de EU. De richtlijn regelt de cyber- en informatiebeveiliging van bedrijven en instellingen. Cyberaanvallen worden inmiddels wereldwijd beschouwd als een van de grootste bedrijfsrisico’s voor bedrijven.
De NIS 2 vervangt de EU-richtlijn 2016/1148 (NIS 1) en moet bijdragen aan het verbeteren van de cyberbeveiliging in de Europese Unie en het beter beschermen van bedrijven. De implementatie van de NIS-2-richtlijn stelt dus ook hogere eisen aan het risicomanagement en de compliance in veel bedrijven. Als de maatregelen binnen bedrijven niet adequaat worden uitgevoerd, kan dat leiden tot sancties, aldus advocatenkantoor MTR Legal Rechtsanwälte.
De EU heeft de NIS-2-richtlijn in 2023 aangenomen en lidstaten moeten deze tegen 2025 in nationaal recht omzetten. Welke bedrijven door de richtlijn worden getroffen, hangt vooral af van de aard van hun activiteiten. De richtlijn is uitgebreid naar meer bedrijven die als essentieel en belangrijk worden beschouwd. Dit leidt tot een aanzienlijke toename van bedrijven en instellingen die wettelijke verplichtingen hebben tegenover het Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kritieke infrastructuren getroffen
Tot de kritieke infrastructuren die al onder de NIS-1-richtlijn vielen, zoals energie, vervoer, gezondheidszorg, financiën, waterbeheer en digitale infrastructuur, worden door de NIS-2-richtlijn andere sectoren getroffen. Daarbij horen openbare elektronische diensten, andere digitale diensten zoals sociale platforms, afvalwater- en afvalbeheer, post- en koeriersdiensten, publieke administratie of fabrikanten van kritische producten. Volgens schattingen zullen ongeveer 29.000 bedrijven in Duitsland, sectordoorsnijdend, worden getroffen door de implementatie van de NIS-2-richtlijn. Vooral middelgrote en grote bedrijven in de kritieke sectoren zullen worden aangespoord om passende maatregelen voor cyberbeveiliging te nemen en een efficiënte compliance te implementeren. Zij worden ook verplicht om de bevoegde autoriteiten te informeren over beveiligingsincidenten met aanzienlijke verstoringen of schade.
De NIS-2-richtlijn bevat ook bepalingen voor toezicht, handhaving en vrijwillige peer reviews om het wederzijds vertrouwen en de cyberbeveiliging in de gehele Europese Unie te versterken. Dit betekent ook dat het management verantwoordelijk kan worden gehouden als maatregelen voor het risicobeheer van de cyberbeveiliging niet worden nageleefd.
Reactie op aanvallen op cyberveiligheid
Met de NIS-2-richtlijn wordt ook een netwerk van Computer Security Incident Response Teams opgezet om informatie over beveiligingsbedreigingen uit te wisselen en adequaat op incidenten te reageren. Bovendien wordt het Europese netwerk van verbindingsorganisaties voor cybercrises gecreëerd. Dit netwerk ondersteunt een regelmatige informatie-uitwisseling tussen de lidstaten en de EU-instituten om te kunnen reageren op incidenten en crises van grote omvang.
Hoe precies de NIS 2 in Duitsland in nationaal recht wordt omgezet, is nog niet vastgesteld. De reden hiervoor is dat de uitvoering is vertraagd door de vervroegde Bondsdagverkiezingen. Duidelijk is echter dat met de uitvoering cyberbeveiliging ook voor veel middelgrote bedrijven een onderwerp zal worden.
Bedrijven moeten beveiligingsmaatregelen implementeren
Zij worden door de NIS 2 geconfronteerd met de uitdaging noodzakelijke beveiligingsmaatregelen te implementeren om gegevens en kritieke infrastructuur te beschermen tegen mogelijke cyberaanvallen. Hiervoor moeten de noodzakelijke technische en organisatorische maatregelen worden genomen. Als het bedrijf slachtoffer wordt van een cyberaanval, moeten er plannen zijn om de schade onmiddellijk in te dammen en de systemen te herstellen. Evenzo moeten de bevoegde autoriteiten worden geïnformeerd. Verder moeten de bedrijven regelmatige tests uitvoeren om kwetsbaarheden op te sporen en te verhelpen. Cyberveiligheid moet ook binnen de toeleveringsketen gelden. Daarom moet ook hier op risico’s gereageerd worden.
De implementatie van de NIS-2-richtlijn houdt uitdagingen in voor een efficiënte compliance in de getroffen bedrijven, omdat ook bestuursvoorzitters en leidinggevende organen persoonlijk aansprakelijk kunnen worden gehouden als de noodzakelijke beveiligingsmaatregelen niet worden uitgevoerd.
MTR Legal Rechtsanwälte ondersteunt bedrijven bij de implementatie van effectieve compliance-systemen en zorgt ervoor dat aan de wettelijke vereisten wordt voldaan. Als zakelijk advocatenkantoor adviseert MTR Legal over compliance en andere onderwerpen van economisch strafrecht.
Neem gerust contact met ons op!
