'Een veilige werkomgeving
beschermt wat waardevol is'

Wat is de NIS2-richtlijn en waarom is deze belangrijk?

Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.  

De richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS1 was alleen toegeschreven op essentiële dienstverleningen zoals een energievoorziening of een waterschap. Kortom, organisaties waarbij het een grote maatschappelijke impact zou hebben als ze gehackt zouden worden. De NIS2 is de opvolger van de eerste NIS-richtlijn. De scope is aanzienlijk uitgebreid, naar achttien sectoren. De richtlijn moet dan ook veel breder onze samenleving beschermen en weerbaarder maken. Uiteindelijk is het de bedoeling om aan de hand van deze wet de cybersecurity in Europa op een hoger niveau te krijgen. En dus ook het niveau van organisaties te verhogen. 

Welke organisaties vallen onder de NIS2-richtlijn? 

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de achttien sectoren. Er zitten ook criteria aan de organisaties zelf.  

Onder essentiële diensten vallen allereerst grote organisaties die actief zijn in een sector van de NIS2-richtlijn. Ze hebben meer dan 250 werknemers of een netto omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Belangrijke entiteiten zijn middelgrote organisaties die actief zijn in één van de genoemde sectoren. Hun organisatie is middelgroot. Dat wil zeggen minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan 10 miljoen euro.

Ondernemingen hebben tot 18 oktober 2024 de tijd om deze wetgeving te verankeren in hun organisatie. “Je zou kunnen denken dat, als je niet tot één van de achttien sectoren behoort, je niets hoeft te doen”, stelde Cybersecurity Architect Michael Waterman van ACA IT-Solutions tijdens een webinar over dit onderwerp. “Maar mocht je bijvoorbeeld een klant hebben uit één van deze sectoren waar je een dienst of product aan levert, dan gaat deze naar alle waarschijnlijkheid dezelfde eisen stellen aan jou.”  

Ook kleinere bedrijven in de keten

“Daarmee is de reikwijdte van deze richtlijn groter dan je in eerste instantie zou denken”, zegt Michael Waterman. “De organisaties die vallen onder de NIS2 moeten hun keten beoordelen op cybersecurity. Zijn hun leveranciers veilig genoeg om te kunnen blijven leveren? ASML bijvoorbeeld valt sowieso al onder de essentiële bedrijven. Die chipmachinefabrikant is voor zijn toeleveranciers een campagne begonnen om hun veiligheid op een hoger niveau te krijgen.” 

De 18 sectoren waar NIS2 voor geldt

• Energie 
• Transport 
• Bankwezen 
• Infrastructuur financiële markt 
• Gezondheidszorg 
• Drinkwater 
• Digitale infrastructuur 
• Afvalwater 
• Overheidsdiensten 
• Ruimtevaart 
• Beheer van ICT-diensten 
• Digitale aanbieders 
• Post- en koeriersdiensten 
• Afvalstoffenbeheer 
• Levensmiddelen 
• Chemische stoffen 
• Onderzoek 
• Vervaardiging/manufacturing

De NIS2-richtlijn is van toepassing op aanbieders van essentiële diensten en digitale dienstverleners. Wat zijn de verplichtingen van deze organisaties?  

Beveiligingsmaatregelen 
De organisaties moeten passende technische en organisatorische beveiligingsmaatregelen nemen om de risico’s voor de beveiliging van hun netwerken en systemen te verminderen en de continuïteit van hun diensten te waarborgen. 

Meldplicht incidenten 
Organisaties moeten incidenten op hun netwerken en systemen melden bij de autoriteiten en moeten procedures hebben om deze incidenten te beoordelen, te melden en te behandelen. 

Nalevingsverslag 
organisaties moeten regelmatig een nalevingsverslag opstellen en indienen bij de relevante autoriteiten. Dit verslag moet informatie bevatten over de genomen beveiligingsmaatregelen en incidenten die zich hebben voorgedaan. 

Risicobeoordelingen 
Organisaties moeten regelmatig risicobeoordelingen uitvoeren om de kwetsbaarheden van hun netwerken en systemen te identificeren en passende beveiligingsmaatregelen te nemen. 

Samenwerking met autoriteiten 
Organisaties moeten samenwerken met de relevante autoriteiten om de beveiliging van hun netwerken en systemen te waarborgen en om incidenten te behandelen. 

Accreditatie en certificering
Organisaties kunnen in de toekomst accreditaties of certificeringen behalen om aan te tonen dat ze voldoen aan de vereisten van de NIS2-richtlijn. 

Wat is de impact van NIS2 op de organisatie?

Als jouw organisatie onder de NIS2-richtlijn valt, zijn er belangrijke verplichtingen op het gebied van cybersecuritybeheer, incident response, rapportage en samenwerking.  

Deze verplichtingen variëren afhankelijk van de grootte van de organisatie en de aard van de activiteiten. Voor kleinere organisaties in het mkb kan de implementatie van de NIS2-richtlijn uitdagend zijn. Zijn er genoeg middelen en expertise op het gebied van cybersecurity? Waar kun je deze kennis het beste betrekken? Weet in elk geval dat het niet naleven van de richtlijn kan leiden tot aanzienlijke boetes en reputatieschade voor jouw organisatie. 

Strenge sancties
De NIS2-richtlijn voorziet in strenge sancties voor organisaties die niet voldoen aan de vereisten van de richtlijn. De exacte sancties variëren, afhankelijk van de nationale wetgeving en de specifieke omstandigheden van de niet-naleving. Hieronder noemen we enkele consequenties: 

1. De maximale boetes voor niet-naleving zijn verhoogd ten opzichte van de oorspronkelijke NIS1-richtlijn. De boetes kunnen oplopen tot tien miljoen euro of twee procent van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
2. Autoriteiten kunnen organisaties verplichten om inbreuken op de NIS2-richtlijn openbaar te maken. Dit kan leiden tot reputatieschade en verlies van vertrouwen van klanten en andere belanghebbenden.
3. Autoriteiten kunnen organisaties verplichten om hun diensten en bedrijfsvoering te stoppen als zij niet voldoen aan de vereisten van de NIS2-richtlijn, met omzetverlies en leveringsproblemen als gevolg.
4. Organisaties die niet voldoen aan de vereisten van de NIS2-richtlijn kunnen aansprakelijk worden gesteld voor eventuele schade die voortvloeit uit inbreuken op de NIS2-richtlijn.

Het toezicht op de naleving van de NIS2-richtlijn komt in handen van de Rijksinspectie Digitale Infrastructuur, het Nationaal Cyber Security Centrum en sectorspecifieke autoriteiten.

Wat zijn mogelijke uitdagingen voor jouw organisatie?

De implementatie van de NIS2-richtlijn brengt voor jouw organisatie mogelijk een aantal uitdagingen met zich mee. 

• Complexiteit van de vereisten: de NIS2-richtlijn bevat gedetailleerde en uitgebreide vereisten voor de beveiliging van netwerken en systemen. Je moet deze vereisten begrijpen en implementeren. Dat vereist een aanzienlijke investering in tijd en middelen. 
• Het implementeren van de vereisten van de NIS2-richtlijn kan hoge kosten met zich meebrengen, met name voor kleinere bedrijven en organisaties. Dit vormt een uitdaging voor organisaties met beperkte middelen. 
• Organisaties kunnen moeite hebben om voldoende expertise en middelen te vinden om de vereisten te implementeren. Het vinden van gekwalificeerd personeel op het gebied van cybersecurity is moeilijk. 
• Organisaties moeten mogelijk verschillende afdelingen en functies binnen hun organisatie coördineren om te voldoen aan de vereisten van de NIS2-richtlijn. Dit kan interne communicatie- en coördinatieproblemen met zich meebrengen. 

• Organisaties moeten informatie uitwisselen en samenwerken met bevoegde autoriteiten en andere belanghebbenden om te voldoen aan de vereisten van de NIS2-richtlijn. Dit brengt uitdagingen met zich op het gebied van communicatie en het delen van vertrouwelijke informatie. 

 Wat zijn de voordelen als je voldoet aan de NIS2-richtlijn? 

Als jouw organisatie voldoet aan de NIS2-richtlijn, dan levert dit voordelen op. Cybersecurity is namelijk op een hoger niveau belandt. Dit levert tal van voordelen op. 

Door te voldoen aan de vereisten van de NIS2-richtlijn wordt de cybersecurity van de organisatie naar een hoger plan getild. Heel concreet zijn de netwerken en systemen beter beveiligd tegen cyberaanvallen. Dit waarborgt de bedrijfscontinuïteit en beschermt de reputatie van het bedrijf. Ook de veerkracht van de organisatie tegen cyberaanvallen en andere incidenten wordt versterkt. Dit helpt om de gevolgen van incidenten te beperken en de impact op de bedrijfscontinuïteit te verminderen. 

Er is meer dan technische aspecten. Als de organisatie voldoet aan de vereisten van de NIS2-richtlijn, verbetert de reputatie van de organisatie. Je laat zien dat je cybersecurity serieus neemt en dat de organisatie zich inzet voor de bescherming van klanten en partners. 

Dit kan zelfs concurrentievoordeel opleveren en helpen om nieuwe klanten aan te trekken en bestaande klanten te behouden.

Wat moet je doen om de organisatie aan de NIS2-richtlijn te laten voldoen?

Om te voldoen aan de vereisten van de NIS2-richtlijn, kunnen de volgende stappen worden ingezet:  

1. Voer een risicobeoordeling uit om de belangrijkste bedreigingen en risico’s voor de netwerken en systemen van de organisatie te identificeren.

2. Implementeer beveiligingsmaatregelen om de risico’s te verminderen. Dit omvat onder meer het volgende:

• Technische en organisatorische maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van de netwerken en systemen te waarborgen.
• Procedures en maatregelen voor incident response, inclusief detectie, rapportage en reactie op incidenten.
• Procedures en maatregelen voor beveiliging van gegevens, inclusief toegangscontroles en versleuteling.
• Beveiligen van kritieke infrastructuren en diensten, zoals energie- en transportsystemen.

3. Wijs een medewerker voor de NIS2-richtlijn aan die verantwoordelijk is voor de implementatie en naleving van de vereisten.

4. Documenteer alle beveiligingsmaatregelen en procedures die zijn geïmplementeerd om aan te tonen dat aan de vereisten van de NIS2-richtlijn is voldaan.
5. Test en oefen regelmatig de beveiligingsmaatregelen en procedures om ervoor te zorgen dat ze effectief zijn en goed werken in geval van incidenten.

6. Rapporteer inbreuken en incidenten aan de autoriteiten zoals voorgeschreven in de NIS2-richtlijn.

Richtlijn is her en der heel specifiek: artikel 27
De wet is her en der zeer specifiek. Dat is het geval bij artikel 27, bladzijde 127. Daar staat heel concreet wat je moet doen. Allereerst gaat dat over een risico-inventarisatie van primaire bedrijfsprocessen. Over welke netwerken en infrastructuren lopen deze en welk risico loop je daarbij? Daarnaast: welke technische en organisatorische maatregelen zijn genomen om de veiligheid te bewaken?  

Verder gaat het over het hebben van procedures voor het reageren op cybersecurity-incidenten, wat er is geregeld aan gegevensbeveiliging, het beveiligen van kritieke infrastructuren, het aanstellen van verantwoordelijken, de governance, het testen van maatregelen en procedures en het rapporteren aan de bevoegde autoriteiten. 

Welke eisen kunnen er aan een mkb-onderneming worden gesteld?

Hier enkele voorbeelden van cybersecurityvereisten die een grote organisatie kan stellen aan een mkb-onderneming die diensten of goederen levert:  

• Het gebruik van multifactor-authenticatie voor toegang tot gevoelige systemen en gegevens. 
• Het implementeren van encryptie voor gevoelige gegevens die worden verzonden via e-mail of andere elektronische kanalen. 
• Het naleven van bepaalde normen voor informatiebeveiliging, zoals ISO 27001 of de security controls gespecificeerd door het Center for Internet Security. 
• Het periodiek uitvoeren van penetratietests, kwetsbaarheidsscans, cybersecurityrisico-audits op systemen en toepassingen. 
• Het gebruik van Security Information and Event Management-oplossingen (SIEM) of andere Security Operations Center-technologieën (SOC) om verdachte activiteiten te detecteren en te reageren op cybersecurity-incidenten. 
• Het implementeren van bepaalde fysieke beveiligingsmaatregelen, zoals beveiligingscamera’s of toegangscontrolesystemen. 
• Het beperken van de toegang tot systemen en gegevens tot alleen degenen die deze nodig hebben voor hun werk. 
• Het periodiek trainen van medewerkers over cybersecurity-best practices en het identificeren van phishing-e-mails of andere frauduleuze communicatie. 
• Het implementeren van een incident response-plan in geval van een cybersecurity-incident. 
• Het naleven van contractuele bepalingen met betrekking tot cybersecurity-vereisten die zijn overeengekomen met de organisatie waaraan wordt geleverd. 

Helpt certificering zoals ISO 27001 om te voldoen aan NIS2?

Wie NIS2 naleeft, werkt eigenlijk op een structurele manier aan zijn cybersecurity. Net zoals je dat bij ISO 27001 ook zou doen. 

Nu is in Duitsland het voldoen aan ISO-27001 gelijkgesteld aan het voldoen aan de NIS2-richtlijn. Die route heeft Nederland niet of nog niet gekozen. Nederland heeft de BIO-normering als uitgangspunt genomen. BIO gaat verder dan ISO-27001. BIO staat voor de Baseline Informatiebeveiliging Overheid. Het is de verwachting dat er ook een accreditatie voor de NIS2 komt. ISO 27001 is momenteel de meest erkende certificering voor informatiebeveiliging, maar het is mogelijk dat er in de toekomst nieuwe certificeringen worden ontwikkeld gericht op de NIS2-richtlijn.  

Er zijn namelijk verschillende initiatieven gaande voor de ontwikkeling van dergelijke certificeringen. De Europese Commissie heeft aangegeven dat zij de ontwikkeling van certificeringen voor cybersecuritydiensten wil bevorderen om het vertrouwen van klanten in deze diensten te vergroten. Het is mogelijk dat toekomstige certificeringen en accreditaties gericht zijn op specifieke vereisten en normen van de NIS2-richtlijn. Echter, op dit moment is ISO 27001 nog steeds de meest erkende certificering voor informatiebeveiliging. Michael Waterman: “En dus kan deze helpen bij de naleving van de vereisten van de NIS2-richtlijn.”  

Tot slot: moet het nu echt?

“Ja”, reageert Michael Waterman. “Als cybersecurity nu nog niet op de bestuurstafel ligt, moet deze er snel opkomen.”  

Let daarbij op: cybersecurity is een specialisme en niet iets voor een ICT-dienstverlener die cloud, netwerken of infrastructuur levert. Dat zijn andere takken van sport. Het belangrijk dat je een beeld hebt van de stappen die je moet zetten als gevolg van deze NIS2-richtlijn. Zo’n assessment kan een hoop duidelijk maken over de weg die je moet volgen naar een volwassen cybersecurity. Het grote voordeel is dan dat je verbeterde waarborgen hebt voor de bedrijfscontinuïteit. Daarbij is het goed om al je kwetsbaarheden, technisch en organisatorisch, in kaart te brengen.  

Train bijvoorbeeld medewerkers in waar ze op moeten letten bij phishing-e-mails of CEO-fraude. Neem ook technische maatregelen. Met SIEM-software kun je je afwijkingen binnen je infrastructuur constateren. Ik raad ook aan om samen te werken met een cybersecurity-expert om te helpen bij het ontwikkelen van een cyberresponseplan. Kortom, ga na of de organisatie direct onder NIS2 valt. Is dat niet zo, ga dan na of je indirect door deze richtlijn wordt beïnvloed. Is dat zo, pak dan allereerst de stappen op uit artikel 21 die je relatief gemakkelijk kunt doorvoeren. Kortom, ga proactief met deze NIS2-richtlijn om.