Techniek

De NIS2-richtlijn is een nieuwe Europese wetgeving die de cybersecurity voor essentiële bedrijven en instanties gaat verhogen. In dit whitepaper leggen we je uit wat de NIS2 is, of jouw onderneming eraan moet voldoen en wat de impact is op de organisatie. Zie onderstaand de onderwerpen:
Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.
De richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS1 was alleen toegeschreven op essentiële dienstverleningen zoals een energievoorziening of een waterschap. Kortom, organisaties waarbij het een grote maatschappelijke impact zou hebben als ze gehackt zouden worden. De NIS2 is de opvolger van de eerste NIS-richtlijn. De scope is aanzienlijk uitgebreid, naar achttien sectoren. De richtlijn moet dan ook veel breder onze samenleving beschermen en weerbaarder maken. Uiteindelijk is het de bedoeling om aan de hand van deze wet de cybersecurity in Europa op een hoger niveau te krijgen. En dus ook het niveau van organisaties te verhogen.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de achttien sectoren. Er zitten ook criteria aan de organisaties zelf.
Onder essentiële diensten vallen allereerst grote organisaties die actief zijn in een sector van de NIS2-richtlijn. Ze hebben meer dan 250 werknemers of een netto omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Belangrijke entiteiten zijn middelgrote organisaties die actief zijn in één van de genoemde sectoren. Hun organisatie is middelgroot. Dat wil zeggen minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
Ondernemingen hebben tot 18 oktober 2024 de tijd om deze wetgeving te verankeren in hun organisatie. “Je zou kunnen denken dat, als je niet tot één van de achttien sectoren behoort, je niets hoeft te doen”, stelde Cybersecurity Architect Michael Waterman van ACA IT-Solutions tijdens een webinar over dit onderwerp. “Maar mocht je bijvoorbeeld een klant hebben uit één van deze sectoren waar je een dienst of product aan levert, dan gaat deze naar alle waarschijnlijkheid dezelfde eisen stellen aan jou.”
“Daarmee is de reikwijdte van deze richtlijn groter dan je in eerste instantie zou denken”, zegt Michael Waterman. “De organisaties die vallen onder de NIS2 moeten hun keten beoordelen op cybersecurity. Zijn hun leveranciers veilig genoeg om te kunnen blijven leveren? ASML bijvoorbeeld valt sowieso al onder de essentiële bedrijven. Die chipmachinefabrikant is voor zijn toeleveranciers een campagne begonnen om hun veiligheid op een hoger niveau te krijgen.”
De NIS2-richtlijn is van toepassing op aanbieders van essentiële diensten en digitale dienstverleners. Wat zijn de verplichtingen van deze organisaties?
Beveiligingsmaatregelen
De organisaties moeten passende technische en organisatorische beveiligingsmaatregelen nemen om de risico’s voor de beveiliging van hun netwerken en systemen te verminderen en de continuïteit van hun diensten te waarborgen.
Meldplicht incidenten
Organisaties moeten incidenten op hun netwerken en systemen melden bij de autoriteiten en moeten procedures hebben om deze incidenten te beoordelen, te melden en te behandelen.
Nalevingsverslag
organisaties moeten regelmatig een nalevingsverslag opstellen en indienen bij de relevante autoriteiten. Dit verslag moet informatie bevatten over de genomen beveiligingsmaatregelen en incidenten die zich hebben voorgedaan.
Risicobeoordelingen
Organisaties moeten regelmatig risicobeoordelingen uitvoeren om de kwetsbaarheden van hun netwerken en systemen te identificeren en passende beveiligingsmaatregelen te nemen.
Samenwerking met autoriteiten
Organisaties moeten samenwerken met de relevante autoriteiten om de beveiliging van hun netwerken en systemen te waarborgen en om incidenten te behandelen.
Accreditatie en certificering
Organisaties kunnen in de toekomst accreditaties of certificeringen behalen om aan te tonen dat ze voldoen aan de vereisten van de NIS2-richtlijn.
Als jouw organisatie onder de NIS2-richtlijn valt, zijn er belangrijke verplichtingen op het gebied van cybersecuritybeheer, incident response, rapportage en samenwerking.
Deze verplichtingen variëren afhankelijk van de grootte van de organisatie en de aard van de activiteiten. Voor kleinere organisaties in het mkb kan de implementatie van de NIS2-richtlijn uitdagend zijn. Zijn er genoeg middelen en expertise op het gebied van cybersecurity? Waar kun je deze kennis het beste betrekken? Weet in elk geval dat het niet naleven van de richtlijn kan leiden tot aanzienlijke boetes en reputatieschade voor jouw organisatie.
Strenge sancties
De NIS2-richtlijn voorziet in strenge sancties voor organisaties die niet voldoen aan de vereisten van de richtlijn. De exacte sancties variëren, afhankelijk van de nationale wetgeving en de specifieke omstandigheden van de niet-naleving. Hieronder noemen we enkele consequenties:
Het toezicht op de naleving van de NIS2-richtlijn komt in handen van de Rijksinspectie Digitale Infrastructuur, het Nationaal Cyber Security Centrum en sectorspecifieke autoriteiten.
De implementatie van de NIS2-richtlijn brengt voor jouw organisatie mogelijk een aantal uitdagingen met zich mee.
Als jouw organisatie voldoet aan de NIS2-richtlijn, dan levert dit voordelen op. Cybersecurity is namelijk op een hoger niveau belandt. Dit levert tal van voordelen op.
Door te voldoen aan de vereisten van de NIS2-richtlijn wordt de cybersecurity van de organisatie naar een hoger plan getild. Heel concreet zijn de netwerken en systemen beter beveiligd tegen cyberaanvallen. Dit waarborgt de bedrijfscontinuïteit en beschermt de reputatie van het bedrijf. Ook de veerkracht van de organisatie tegen cyberaanvallen en andere incidenten wordt versterkt. Dit helpt om de gevolgen van incidenten te beperken en de impact op de bedrijfscontinuïteit te verminderen.
Er is meer dan technische aspecten. Als de organisatie voldoet aan de vereisten van de NIS2-richtlijn, verbetert de reputatie van de organisatie. Je laat zien dat je cybersecurity serieus neemt en dat de organisatie zich inzet voor de bescherming van klanten en partners.
Dit kan zelfs concurrentievoordeel opleveren en helpen om nieuwe klanten aan te trekken en bestaande klanten te behouden.
Om te voldoen aan de vereisten van de NIS2-richtlijn, kunnen de volgende stappen worden ingezet:
Richtlijn is her en der heel specifiek: artikel 27
De wet is her en der zeer specifiek. Dat is het geval bij artikel 27, bladzijde 127. Daar staat heel concreet wat je moet doen. Allereerst gaat dat over een risico-inventarisatie van primaire bedrijfsprocessen. Over welke netwerken en infrastructuren lopen deze en welk risico loop je daarbij? Daarnaast: welke technische en organisatorische maatregelen zijn genomen om de veiligheid te bewaken?
Verder gaat het over het hebben van procedures voor het reageren op cybersecurity-incidenten, wat er is geregeld aan gegevensbeveiliging, het beveiligen van kritieke infrastructuren, het aanstellen van verantwoordelijken, de governance, het testen van maatregelen en procedures en het rapporteren aan de bevoegde autoriteiten.
Hier enkele voorbeelden van cybersecurityvereisten die een grote organisatie kan stellen aan een mkb-onderneming die diensten of goederen levert:
Wie NIS2 naleeft, werkt eigenlijk op een structurele manier aan zijn cybersecurity. Net zoals je dat bij ISO 27001 ook zou doen.
Nu is in Duitsland het voldoen aan ISO-27001 gelijkgesteld aan het voldoen aan de NIS2-richtlijn. Die route heeft Nederland niet of nog niet gekozen. Nederland heeft de BIO-normering als uitgangspunt genomen. BIO gaat verder dan ISO-27001. BIO staat voor de Baseline Informatiebeveiliging Overheid. Het is de verwachting dat er ook een accreditatie voor de NIS2 komt. ISO 27001 is momenteel de meest erkende certificering voor informatiebeveiliging, maar het is mogelijk dat er in de toekomst nieuwe certificeringen worden ontwikkeld gericht op de NIS2-richtlijn.
Er zijn namelijk verschillende initiatieven gaande voor de ontwikkeling van dergelijke certificeringen. De Europese Commissie heeft aangegeven dat zij de ontwikkeling van certificeringen voor cybersecuritydiensten wil bevorderen om het vertrouwen van klanten in deze diensten te vergroten. Het is mogelijk dat toekomstige certificeringen en accreditaties gericht zijn op specifieke vereisten en normen van de NIS2-richtlijn. Echter, op dit moment is ISO 27001 nog steeds de meest erkende certificering voor informatiebeveiliging. Michael Waterman: “En dus kan deze helpen bij de naleving van de vereisten van de NIS2-richtlijn.”
“Ja”, reageert Michael Waterman. “Als cybersecurity nu nog niet op de bestuurstafel ligt, moet deze er snel opkomen.”
Let daarbij op: cybersecurity is een specialisme en niet iets voor een ICT-dienstverlener die cloud, netwerken of infrastructuur levert. Dat zijn andere takken van sport. Het belangrijk dat je een beeld hebt van de stappen die je moet zetten als gevolg van deze NIS2-richtlijn. Zo’n assessment kan een hoop duidelijk maken over de weg die je moet volgen naar een volwassen cybersecurity. Het grote voordeel is dan dat je verbeterde waarborgen hebt voor de bedrijfscontinuïteit. Daarbij is het goed om al je kwetsbaarheden, technisch en organisatorisch, in kaart te brengen.
Train bijvoorbeeld medewerkers in waar ze op moeten letten bij phishing-e-mails of CEO-fraude. Neem ook technische maatregelen. Met SIEM-software kun je je afwijkingen binnen je infrastructuur constateren. Ik raad ook aan om samen te werken met een cybersecurity-expert om te helpen bij het ontwikkelen van een cyberresponseplan. Kortom, ga na of de organisatie direct onder NIS2 valt. Is dat niet zo, ga dan na of je indirect door deze richtlijn wordt beïnvloed. Is dat zo, pak dan allereerst de stappen op uit artikel 21 die je relatief gemakkelijk kunt doorvoeren. Kortom, ga proactief met deze NIS2-richtlijn om.