NIS2: Gevolgen voor binnen én buiten Europa 

NIS2: Gevolgen voor binnen én buiten Europa

  • Auteur: Zoë Vangangelt
  • Datum: 28 feb 2024
  • 3 min
|

De deadline voor de implementatie van de NIS2-richtlijn nadert. Op 17 oktober 2024 is het zover. En hoewel de implicaties van NIS2 buiten Europa om niet zo breed zijn als bij de Algemene Verordening Gegevensbescherming (GDPR), is de extraterritoriale rechtsmacht wel degelijk van kracht. Om jouw organisatie de NIS2-richtlijn te helpen navigeren, werpt deze blog een licht op de implicaties van NIS2 buiten de Europese Unie. 

Binnen 8 maanden is de NIS2-richtlijn van kracht. Met aanzienlijk aangescherpte eisen voor cyberbeveiligingsbeheer die zich uitstrekken over de hele toeleveringsketen, toegenomen rapportageverplichtingen en persoonlijke aansprakelijkheid voor het senior management, gaan organisaties best niet over één nacht ijs bij het evalueren of de NIS2-richtlijn wel van toepassing is op hun organisatie. 

Aangezien NIS2 gericht is op het verbeteren van de cyberweerbaarheid van de publieke en de private sector, en de gehele Europese Unie, reikt de impact van de richtlijn verder dan de Europese landsgrenzen. In deze blog zoomen we dieper in op hoe NIS2 de toekomst van cyberbeveiliging wereldwijd vormgeeft. 

Cyberbeveiliging kent geen grenzen

Net als GDPR heeft NIS2 wereldwijde gevolgen. Zo is de wet- en regelgeving ook van toepassing op internationale organisaties met vestigingen in de EU. Als een organisatie in meerdere EU-lidstaten aanwezig is, bepaalt de locatie van de hoofdzetel onder welke rechtsmacht de organisatie valt. 

Daarnaast heeft NIS2 ook gevolgen voor alle entiteiten die essentiële of belangrijke diensten verlenen aan de Europese economie en samenleving. Van de organisaties en leveranciers die die onder het toepassingsgebied vallen, wordt verwacht dat ze aan NIS2 voldoen wanneer ze zakendoen met Europese organisaties, ongeacht of ze zelf binnen of buiten de EU gevestigd zijn. 

Ook is het belangrijk om te wijzen op de regels over rechtsmacht en territorialiteit zoals beschreven in artikel 26 van de richtlijn. Dit artikel heeft betrekking op het bepalen onder welke rechtsmacht een organisatie valt. Belangrijk aangezien elke lidstaat de NIS2-richtlijn anders interpreteert en implementeert in de nationale wet- en regelgeving. 

Artikel 26 schrijft voor dat organisaties die buiten de Europese Unie gevestigd zijn, een vertegenwoordiger moeten aanstellen in één van de EU-lidstaten waar ze diensten verlenen. Vervolgens wordt de organisatie beschouwd als vallend onder de rechtsmacht van de lidstaat waar de vertegenwoordiger gevestigd is. Als er geen vertegenwoordiger is aangeduid, kan elke lidstaat waar de organisatie diensten verleent juridische stappen ondernemen bij schending van de wet- en regelgeving. 

Boetes en straffen voor het niet naleven van de regelgeving

NIS2 is alleen van toepassing op entiteiten die diensten verlenen aan of opereren in de Europese Unie. Dit betekent dat NIS2 voor een multinational met dochterondernemingen in de EU alleen de individuele entiteiten straft die diensten verlenen of activiteiten ondernemen in Europa. 

Als gevolg van de strengere verplichtingen voor entiteiten binnen het toepassingsgebied, zullen de eisen voor het beheer van cyberrisico’s van toepassing zijn op de volledige toeleveringsketen. Hierdoor kunnen moederbedrijven gevestigd buiten de Europese Unie mogelijks nog steeds gestraft worden als de Europese vestiging zich niet aan de regels houdt. 

Organisaties die de regels niet naleven, zullen sancties en boetes opgelegd krijgen. Een essentiële organisatie kan een boete krijgen van maximaal 10 miljoen euro of 2% van haar wereldwijde omzet. Een belangrijke entiteit kan een boete krijgen van maximaal 7 miljoen euro of 1,4% van haar wereldwijde jaaromzet. Daarnaast kunnen leidinggevenden ook persoonlijk aansprakelijk worden gesteld voor schending van NIS2. 

We merken dat veel klanten nog moeten starten met hun NIS2-traject, vaak omdat er nog geen vertaalslag is gemaakt naar de lokale wet- en regelgeving. Het is belangrijk om te onthouden dat NIS2 de minimale norm is. Alles wat in de lokale wetgeving verankerd wordt, is een extraatje. Ons advies is om niet te wachten tot de vertaalslag is gemaakt, maar nu al te starten met je compliance journey, wetende dat wat nu al gepubliceerd is, de eerste te behalen doelstelling is.

 

Hoe BLAUD je kan helpen bij je NIS2-compliance journey

Als het om NIS2 gaat, heb je een ervaren partner nodig 

Het afgelopen decennium speelde BLAUD een belangrijke rol in het helpen gedijen van haar klanten in het snel evoluerende dreigingslandschap. BLAUD’s diepgaande expertise van en inzicht in de NIS2-richtlijn stelt ons in staat om jouw organisatie te ondersteunen bij de implementatie van strikte beveiligingsrichtlijnen en -processen. 

BLAUD kan je helpen bij het beoordelen of je organisatie binnen de reikwijdte van de NIS2-richtlijn valt. Voor elke belangrijke vereiste van de richtlijn kan BLAUD je ondersteunen bij het ontdekken en documenteren van de je huidige staat van paraatheid en je voorzien van een individuele roadmap gericht op het bereiken van NIS2-compliance.  

Met drie Microsoft Security Specialisations in Identity and Access Management, Information Protection and Governance and Threat Protection, fungeert BLAUD als expert in deze cruciale NIS2-gebieden – Identity, Data Governance, Security Threat Protection and Response, Education and Awareness en Security Policies.  

Het zijn onze mensen en onze expertise die ervoor zorgen dat jouw bedrijf de kloof kan dichten tussen de huidige staat van beveiliging en NIS2-compliance. 

Kun je wel een helpende hand gebruiken bij het uitstippelen van je compliance journey? Neem vrijblijvend contact met ons op via onderstaand formulier:

|

Neem contact met ons op

Onze experts helpen je graag op weg.