De meeste EU-landen missen de deadline om aan de nieuwe cyberbeveiligingsregels te voldoen

Nieuwe regelgeving van de Europese Unie die bedrijven verplicht hun cyberverdediging te versterken, komt traag op gang, omdat veel lidstaten er niet in zijn geslaagd de regels op tijd aan te nemen om een ​​belangrijke handhavingsdeadline te halen, zo blijkt uit onderzoek dat de voortgang van de richtlijn monitort.

De NIS 2-cyberbeveiligingsrichtlijn van de EU stelt een hoge maatstaf voor bedrijven ten opzichte van hun interne cyberbeveiligingssystemen en -praktijken. Het stelt strengere eisen op het gebied van risicobeheer, transparantieverplichtingen en bedrijfscontinuïteitsplanning in het geval van een cyberinbreuk.

Donderdag werd de nieuwe richtlijn officieel afdwingbaar voor de lidstaten. Dat betekent dat bedrijven er nu voor moeten zorgen dat hun activiteiten in overeenstemming zijn met de regels. De meeste EU-lidstaten moeten NIS 2 echter nog in hun eigen nationale wetgeving implementeren, wat betekent dat de handhaving waarschijnlijk gebrekkig zal zijn.

Twee landen – Portugal en Bulgarije – zijn nog niet begonnen met het omzettingsproces voor NIS 2, waar richtlijnen worden opgenomen in de nationale wetten van de EU-lidstaten, volgens een trackertool van internetonderzoeksorganisatie DNS Research Federation. De regeringen van Portugal en Bulgarije waren niet onmiddellijk beschikbaar voor commentaar toen CNBC woensdag contact met hen opnam.

“De implementatiestatus varieert aanzienlijk binnen het blok”, vertelde Tim Wright, partner en technologieadvocaat bij Fladgate, via e-mail aan CNBC.

NIS 2 – of de Network and Information Security Directive 2 – is een EU-richtlijn die tot doel heeft de beveiliging van IT-systemen en netwerken in het hele blok te vergroten. De wet werd voor het eerst voorgesteld in 2020 en dient als een update van een eerdere richtlijn die simpelweg NIS heette.

NIS 2 breidt de reikwijdte van zijn voorganger uit om recentere uitdagingen en bedreigingen op het gebied van cyberbeveiliging aan te pakken, nu criminelen nieuwe manieren hebben gevonden om bedrijven te hacken en hun gevoelige gegevens in gevaar te brengen.

De richtlijn is van toepassing op organisaties die binnen de EU opereren en essentiële diensten leveren aan consumenten, waaronder banken, energieleveranciers, zorginstellingen, internetaanbieders, transportbedrijven en afvalverwerkers.

Bedrijven zullen onder de nieuwe regelgeving een “zorgplicht” hebben om informatie over cyberkwetsbaarheden en hacks te melden en te delen met andere bedrijven – zelfs als dit betekent dat ze moeten toegeven slachtoffer te zijn van een cyberinbreuk.

Als een bedrijf het slachtoffer wordt van een cyberinbreuk, heeft het 24 uur de tijd om een ​​vroegtijdige waarschuwing bij de autoriteiten in te dienen – een striktere tijdlijn dan de 72-uurs raamwerkbedrijven die de autoriteiten op de hoogte moeten stellen van een datalek op grond van de Algemene Verordening Gegevensbescherming. een aparte gegevensprivacywet in de EU.

Bedrijven zullen hun technologieleveranciers ook één voor één moeten onderzoeken op cyberdreigingen en kwetsbaarheden.

Fladgate’s Wright zei dat de effectiviteit van NIS 2 als regelgeving grotendeels zal afhangen van consistente implementatie en handhaving in de EU-lidstaten.

“Slechte actoren kunnen zich richten op landen die achterlopen bij de omzetting van NIS2 of op zoek gaan naar zwakke punten in toeleveringsketens, waarbij ze zich richten op kleinere, minder veilige verkopers en leveranciers om toegang te krijgen tot grotere, beter beschermde organisaties”, vertelde hij aan CNBC.

Bedrijven zijn al jaren bezig om hun interne processen, controles en bredere cultuur rond cyberbeveiliging in vorm te krijgen vóór de deadline van donderdag.

Chris Gow, hoofd van het Europese overheidsbeleid bij Cisco, zei dat de vlekkerige aard van de implementatie van NIS 2 ook “verergerd is door lokale aanpassing van de wet.”

Dit zorgt op zijn beurt voor “verschillen die moeilijk te doorgronden kunnen zijn, vooral voor kleinere organisaties met beperkte middelen”, vertelde Gow in een commentaar per e-mail aan CNBC.

Hij adviseerde dat organisaties, in plaats van ‘overweldigd’ te worden door discrepanties in lokale aanpassingen van NIS 2, ‘een gemeenschappelijke kern van beveiligingscontroles en -processen zouden moeten identificeren die hen goed van pas kunnen komen om op grote schaal aan compliance te voldoen en deze aan te tonen’.

Voor ‘essentiële’ entiteiten zoals transport-, financiële en waterbedrijven kan het niet naleven van NIS 2 leiden tot boetes tot 10 miljoen euro ($10,9 miljoen) of 2% van de wereldwijde jaaromzet – afhankelijk van wat het hoogste is.

Ondertussen riskeren ‘belangrijke’ bedrijven – zoals voedingsbedrijven, chemische bedrijven en afvalverwerkingsdiensten – boetes tot 7 miljoen euro of 1,4% van hun wereldwijde jaaromzet voor overtredingen.

Bedrijven kunnen ook te maken krijgen met mogelijke opschorting van hun dienstverlening als ze niet voldoen aan NIS 2, en met strenger toezicht.

“NIS 2 maakt het duidelijk: hoge boetes, mogelijke opschorting van dienstverlening en toezicht op de naleving worden gebruikt als hefboom om organisaties die verantwoordelijk zijn voor kritieke diensten aan te moedigen aandacht te besteden aan cyberveiligheidsbedreigingen en hun reactie daarop”, aldus Carl Leonard, EMEA-cyberveiligheidsstrateeg bij Proofpoint, vertelde CNBC.

“Er is een basislijn vastgesteld op het gebied van risicobeheer en risicobeperkende maatregelen, waaronder incidentafhandeling, personeelstraining, verantwoordelijkheid van het leiderschap en vele andere,” voegde Leonard eraan toe.