| 1. Uitbreiding van industriële sectoren en entiteiten die onder de reikwijdte van NIS2 vallen.
Hieronder vallen bedrijfstakken zoals post- en koeriersdiensten, voeding, ruimtevaart en afvalwater, maar ook talloze middelgrote bedrijven met 50 of meer werknemers en een omzet van meer dan €10 miljoen.
2. Verantwoordelijkheden van het bestuur
Bestuurders dienen een training te volgen om voldoende kennis en vaardigheden op te doen om risico’s te identificeren en om de werkwijze van risicobeheer op het gebied van cyberbeveiliging en de impact ervan op hun dienstverlening te beoordelen. Dit zal onderdeel worden van de bestuurdersaansprakelijkheid.
3. Aangescherpte maatregelen voor risicobeheer op het gebied van cyberbeveiliging
Deze maatregelen variëren van het gebruik van Multi-Factor Authentication (MFA) tot het afhandelen van incidenten en beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen.
4. Beveiliging van de toeleveringsketen valt ook binnen het toepassingsgebied
Organisaties moeten rekening houden met de kwetsbaarheden die specifiek zijn voor elk van hun directe leveranciers en dienstverleners om de impact van incidenten in de toeleveringsketen op ontvangers van hun diensten en op andere diensten te voorkomen of te minimaliseren.
5. Hogere boetes
“Essentiële” organisaties die NIS2 niet naleven, krijgen te maken met boetes van maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde jaaromzet (welke van beide het hoogst is), terwijl “belangrijke” bedrijven boetes krijgen van maximaal tot € 7 miljoen of 1,4 procent (welke van beide het hoogst is). |
