NIS2 en DORA

Hierin duiken we in twee cruciale onderwerpen die het landschap van elektronische archivering en operationele veerkracht in de Europese Unie: NIS2 en DORA. De nieuwste ontwikkelingen hebben directe gevolgen voor organisaties die actief zijn binnen de EU en daarbuiten. Het is essentieel om te begrijpen hoe deze veranderingen in de regelgeving van invloed zijn op uw digitale strategieën en risicobeheerpraktijken.

NIS2 en DORA dienen verschillende doelen. NIS2 is gericht op het verbeteren van cyberbeveiliging op wereldwijde schaal binnen de EU, waarbij de nadruk ligt op het harmoniseren van cyberbeveiligingsmaatregelen in verschillende sectoren. DORA richt zich daarentegen specifiek op de integriteit en beschikbaarheid van financiële diensten en biedt een meer fijnmazige set regels die is toegesneden op financiële entiteiten.

Niet-naleving van de DORA- en NIS2-regelgeving kan aanzienlijke gevolgen hebben voor organisaties, waaronder aanzienlijke boetes en, in extreme gevallen, opschorting van de activiteiten. Deze boetes kunnen oplopen tot miljoenen euro's of een percentage van de omzet, afhankelijk van de ernst van de overtreding.

Naleving van DORA en NIS2 is een collectieve verantwoordelijkheid en senior leiders spelen een cruciale rol om ervoor te zorgen dat organisaties voldoen aan alle wettelijke vereisten. Goedkeuring van beveiligingsmaatregelen en actief toezicht op de cyberbeveiligingsstrategie zijn van vitaal belang om risico's te beperken en naleving van de regelgeving te handhaven.

Laten we nu eens in de details duiken:

NIS2

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) betekent een grote sprong voorwaarts op het gebied van cyberbeveiligingsmaatregelen en bevordert de samenwerking tussen EU-lidstaten om cyberbeveiligingsincidenten direct aan te pakken. NIS2 is officieel van kracht geworden in 2023, maar de deadline voor lidstaten om de NIS2-richtlijn om te zetten in nationale wetgeving is 17 oktober 2024.

NIS2 heeft gevolgen voor organisaties in verschillende sectoren, met name voor organisaties die essentiële diensten leveren, zoals energie, gezondheidszorg, financiën, transport en digitale infrastructuur. NIS2 verbreedt daarom aanzienlijk de reikwijdte van zijn voorganger, NIS, door niet alleen aanbieders van essentiële diensten, maar ook aanbieders van digitale diensten te omvatten.

De belangrijkste elementen zijn:

1. Versterkte maatregelen op het gebied van cyberbeveiliging voor exploitanten van essentiële diensten en aanbieders van digitale diensten.
2. Aangescherpte verplichtingen voor het melden van incidenten, zodat belangrijke cyberincidenten tijdig worden gemeld.
3. Samenwerkingsmechanismen tussen lidstaten om het delen van informatie en de coördinatie van de respons te vergemakkelijken.
4. Afstemming op internationale normen en beste praktijken om interoperabiliteit en cyberveerkracht over de grenzen heen te bevorderen.
5. Bedrijven die niet voldoen aan de NIS2-vereisten kunnen aanzienlijke boetes opgelegd krijgen, waaronder boetes tot 10 miljoen euro of 2% van de wereldwijde omzet.

DORA

Vervolgens duiken we in de Digital Operational Resilience Act (DORA), een baanbrekend regelgevend kader dat op 17 januari 2025 van start gaat. Het belangrijkste doel van DORA is het versterken van de digitale infrastructuur binnen de financiële sector, het versterken van de verdediging tegen cyberbedreigingen en het verbeteren van de algehele stabiliteit.

DORA verplicht financiële instellingen, waaronder banken, betalingsaanbieders, beleggingsondernemingen, verzekeraars en fondsbeheerders, om hun operationele veerkracht met betrekking tot informatie- en communicatietechnologie (ICT) nauwgezet te beheren. Tot de belangrijkste aspecten behoren het beperken, opsporen, inperken, herstellen en herstellen van ICT-incidentenzoals cyberaanvallen of systeemstoringen.

Belangrijke inzichten in DORA zijn onder andere:

1. De verantwoordelijkheid voor het toezicht op ICT-risico's ligt bij de bestuursorganen van financiële entiteiten.
2. Het is verplicht om allesomvattende kaders op te zetten om ICT-risico's te identificeren, te bewaken, te controleren, op te sporen en erop te reageren.
3. Financiële instellingen moeten grote ICT-gerelateerde incidenten classificeren en rapporteren aan de relevante autoriteiten.
4. Voor bepaalde instellingen zijn verplichte testprogramma's vereist, waaronder geavanceerde penetratietests.
5. Strenge due diligence en specifieke contractuele voorwaarden zijn verplicht bij het inhuren van ICT-dienstverleners, vooral voor kritieke functies.
6. Europese toezichthoudende autoriteiten (ESA's) houden rechtstreeks toezicht op kritieke ICT-dienstverleners om naleving te garanderen.
7. Het DORA consolideert en breidt bestaande richtlijnen over ICT-risicobeheer en uitbesteding uit naar alle financiële instellingen die onder het DORA vallen.
8. Hoewel het om een EU-verordening gaat, strekt de reikwijdte van DORA zich uit over de hele wereld, met name voor multinationale financiële ondernemingen die in de EU actief zijn.
9. Financiële instellingen die zich niet aan de regels houden, kunnen boetes opgelegd krijgen die kunnen oplopen tot €10 miljoen of 5% van hun totale jaaromzet.

De introductie van NIS2 en DORA benadrukt het cruciale belang van robuuste cyberbeveiligingsmaatregelen en proactief risicomanagement in verschillende sectoren. Naleving van deze regelgeving is essentieel voor organisaties om aanzienlijke boetes te voorkomen en operationele continuïteit te behouden.

Daarom is het begrijpen en effectief implementeren van de principes die in NIS2 en DORA worden beschreven cruciaal voor het waarborgen van de beveiliging en veerkracht van organisaties.

Dit alles kan afschrikwekkend lijken, maar maak u geen zorgen: als vertrouwde partner in digitale oplossingen is Docbyte er om u te ondersteunen bij het navigeren door deze regelgevende landschappen. Onze oplossingen en expertise zijn ontworpen om u te helpen zich aan te passen, te gedijen en een concurrentievoordeel te behouden terwijl u tegelijkertijd de volgende zaken verzekert veiligheid en veerkracht van uw digitale activiteiten.