De nieuwste versie van de Europese NIS2 richtlijn, is van kracht geworden in Januari 2023. Lidstaten van de europese unie hebben tot oktober 2024 de tijd om deze richtlijn om te zetten naar nationele wetgeving. Een van de meest kritieke veranderingen is het melden van incidenten.
In tegenstelling tot de oude NIS geeft de NIS2 aan dat elk cybersecurity incident moet worden gemeld, ongeacht of de aanval de organisatie heeft beïnvloed. Dit is om autoriteiten te helpen bij het acteren op potentiële dreigingen. NIS2 vereiste dan ook dat elke EU-lidstaat een centraal aanspreekpunt of een bevoegde autoriteit aanwijst.
De meest significante verandering rond het rapporteren van incidenten is een verplicht meerfase rapportage process en wat precies de inhoud moet worden.
Initiele melding
De initiële melding moet binnen 24 uur na het incident worden ingediend bij de bevoegde autoriteit. Het rapport moet aangeven of het incident is veroorzaakt door bijvoorbeeld een hacker of een andere vorm van cybercriminaliteit. Deze eerste melding is bedoeld om de mogelijke verspreiding van een nationale cyberdreiging te beperken.
Inititele beoordeling
Het gedetailleerdere rapport met een beoordeling inclusief de ernst, impact en indicatoren over de mogelijke aanval moet binnen 72 uur worden ingediend. Het incident dient ook gemeld te worden bij de politie als het crimineel van aard is.
Eindrapport
Het definitieve rapport moet binnen een maand na de initiële melding worden ingediend. Dit definitieve rapport moet minimaal de volgende informatie bevatten:
- Een gedetailleerde beschrijving van het incident
- De ernst en de gevolgen voor de organisaties
- Het type bedreiging of oorzaak die waarschijnlijk tot het incident heeft geleid
- Alle toegepaste en lopende mitigatiemaatregelen
Daarnaast moet de organisatie elke grote cyberdreiging melden die kan leiden tot een significant incident. Een dreiging wordt als significant beschouwd als deze resulteert in:
- Materiële operationele verstoringen of financiële verliezen voor de organisaties
- Als het natuurlijke personen of rechtspersonen kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Boetes
Het niet naleven van de richtlijn kan voor essentiële en belangrijke organisaties flinke boetes betekenen.
- Voor essentiële bedrijven kan de boete oplopen tot €10.000.000 of ten minste 2% van de totale jaarlijkse wereldwijde omzet in het voorgaande boekjaar.
- Voor belangrijke entiteiten kan de boete oplopen tot €7.000.000 of ten minste 1,4% van de totale jaarlijkse wereldwijde omzet in het voorgaande boekjaar.
Heeft u vragen of wilt u weten wat Kaap Hoorn ICT Security voor u op het gebied van NIS2 kan betekenen? Neem vrijblijvend contact op via [email protected] of bel ons op 0229 799 800.