De NIS2-Richtlijn draagt bij aan een robuuster en beter beschermd Europees cyberdomein
Organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan strikte beveiligingseisen, incidentenrapportage en uitgebreide risicobeheerprocedures. Deze regelgeving dwingt hen hun cyberbeveiligingsmaatregelen substantieel te versterken en zich beter voor te bereiden op mogelijke cyberaanvallen. Door de implementatie van NIS2 zullen organisaties in vitale sectoren beter in staat zijn om toenemende en geavanceerde cyberdreigingen het hoofd te bieden, wat leidt tot een veiliger digitaal landschap voor burgers en bedrijven in Europa.
De NIS2-Richtlijn draagt bij aan een robuuster en beter beschermd Europees cyberdomein, essentieel in een tijd van steeds geavanceerdere en wijdverbreide cyberdreigingen. Door verhoogde cyberveiligheid in cruciale sectoren zal de EU beter bestand zijn tegen de negatieve gevolgen van grootschalige cyberincidenten, wat de stabiliteit en weerbaarheid van de Europese samenleving en economie ten goede komt.
Voor wie geldt de nieuwe NIS2-richtlijn?
Onder de NIS2-richtlijn vallen organisaties uit verschillende sectoren die als essentieel of belangrijk worden beschouwd voor de economie en de samenleving. De NIS2-richtlijn is verdeeld onder 2 groepen:
Allereerst zijn er de ‘essentiële’ entiteiten (grote organisaties > 250 medewerkers of een omzet van meer dan 50 miljoen). Hieronder vallen organisaties in de categorieën; Energie, Vervoer, Infrastructuur voor de financiële markt, Gezondheidszorg, Drinkwater, Bankwezen, Afvalwater, Digitale infrastructuur, Beheer van ICT-diensten (B2B), Overheid en Ruimtevaart.
Ten tweede zijn er de ‘belangrijke’ entiteiten (grote en middelgrote organisaties > 50 medewerkers of een omzet van meer dan 10 miljoen). Hieronder vallen organisaties in de categorieën; Afvalstoffenbeheer, Vervaardiging, Vervaardiging/ productie en distributie van chemische stoffen, Post- en koeriersdiensten, Digitale aanbieders, Onderzoek, Productie/ verwerken en distributie van levensmiddelen.
De NIS2-richtlijn is van toepassing op zowel publieke als private organisaties die voldoen aan bepaalde drempelwaarden op het gebied van omzet, balanstotaal of aantal werknemers. Daarnaast kunnen lidstaten ook kleinere bedrijven aanwijzen als vallend onder de richtlijn, indien ze van cruciaal belang worden geacht voor de continuïteit van de essentiële dienstverlening. Benieuwd naar wat de NIS2-richtlijn voor jouw organisatie gaat betekenen? Bezoek de website van het Nationaal Cyber Security Centrum via https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie.
We gaan van NIS naar NIS2, maar wat houdt dat in?
De NIS2-richtlijn introduceert belangrijke wijzigingen en uitbreiding van de bestaande cybersecurity-wetgeving in de Europese Unie. De belangrijkste veranderingen omvatten:
Uitgebreide sectoren: De richtlijn breidt het toepassingsgebied uit naar nieuwe sectoren, zoals digitale infrastructuur, openbaar vervoer, drinkwater en afvalwatervoorziening.
Strengere meldplicht: Organisaties moeten ernstige incidenten binnen 24 uur melden aan de bevoegde autoriteiten.
Hogere boetes: De boetes voor niet-naleving kunnen oplopen tot 2% van de wereldwijde jaaromzet.
Cyberbeveiligingsnormen: De richtlijn stelt strengere eisen aan cyberbeveiligingsmaatregelen voor de getroffen organisaties.
Deze wijzigingen in de NIS2-richtlijn vergroten de cyberveiligheid in Europa en leggen meer verantwoordelijkheid bij organisaties om hun digitale systemen en processen te beschermen.
Wat zijn de belangrijkste artikelen?
Ga je je verdiepen in de NIS2-richtlijn, verzand je al snel in een woud van lange documenten, artikelen, regels, etc. We hebben je daarom alvast de belangrijkste artikelen uit de richtlijn op een rij gezet.
Governance (artikel 17)
De lidstaten zorgen ervoor dat de beheersorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het risicobeheer op het gebied van cyberbeveiliging goedkeuren om te voldoen aan artikel 18, toezicht houden op de uitvoering ervan en verantwoordelijk zijn voor de niet-naleving door de entiteiten van de verplichtingen uit hoofde van dit artikel.
Maatregelen (artikel 18)
De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten bij het verlenen van hun diensten gebruiken, te beheren. Rekening houdend met de stand van de techniek zorgen deze maatregelen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op het aanwezige risico.
Maatregelen (artikel 18, lid 1)
De in lid 1 bedoelde maatregelen omvatten ten minste het volgende:
• (a) risicoanalyse en beleid inzake de beveiliging van informatiesystemen;
• (b) incidentenbehandeling (preventie en opsporing van en respons op incidenten);
• (c) bedrijfscontinuïteit en crisisbeheer;
• …
• (f) beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
Rapportageverplichtingen (artikel 20)
De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten de bevoegde autoriteiten of het CSIRT overeenkomstig de leden 3 en 4 onverwijld in kennis stellen van elk incident dat aanzienlijke gevolgen heeft voor de verlening van hun diensten. In voorkomend geval stellen deze entiteiten de ontvangers van hun diensten onverwijld in kennis van incidenten die een nadelige invloed kunnen hebben op de verlening van die dienst. De lidstaten zorgen ervoor dat deze entiteiten onder meer alle informatie rapporteren die de bevoegde autoriteiten of het CSIRT in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen.
Zorgplicht (artikel 21, lid 1)
Verplichting tot het nemen van passende en evenredige technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatie-systemen te beheren, incidenten te voorkomen, en de impact van incidenten te beperken.
Meldplicht (artikel 23, lid 4)
Verplichting tot het onverwijld melden van een incident bij bevoegde autoriteit:
• Binnen 24 uur na kennisname van incident een eerste melding
• Binnen 72 uur een gedetailleerde melding
• Op verzoek aanleveren van updates
• Binnen één maand eindverslag
Governance (artikel 32, lid 6)
Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij niet nakomen verplichtingen.
Sancties (artikel 34, lid 4 en 5)
Sanctie essentiële entiteit tot wel EUR 10 miljoen of 2% van de jaaromzet
Sanctie belangrijke entiteit tot wel EUR 7 miljoen of 1,4% van de jaaromzet
Waar liggen de uitdagingen?
De implementatie van de NIS2-richtlijn brengt diverse uitdagingen en aandachtspunten met zich mee voor organisaties. Een cruciale kwestie is de gegevensbescherming en het waarborgen van de privacy van gebruikers. Bedrijven moeten uiterst zorgvuldig omgaan met de verzamelde gegevens en voldoen aan de relevante wet- en regelgeving op dit gebied, zoals de Algemene Verordening Gegevensbescherming (AVG).
Daarnaast is er de belangrijke kwestie van toezicht en handhaving. De bevoegde autoriteiten moeten effectief toezicht kunnen houden op de naleving van de NIS2-richtlijn en adequate sancties opleggen bij overtredingen. Hiervoor is internationale samenwerking tussen toezichthouders essentieel, zodat een gecoördineerde en eenduidige aanpak kan worden gerealiseerd.
Een ander belangrijk aandachtspunt is de voorbereiding en implementatie van de NIS2-richtlijn binnen de organisaties zelf. Bedrijven moeten een gedegen implementatieplan opstellen en de nodige maatregelen treffen om tijdig aan de compliance-eisen te voldoen. Het raadplegen van best practices op het gebied van NIS2-naleving kan organisaties helpen om de vereiste stappen effectief te doorlopen.
Alvast wat handige informatie
We geven je een aantal handige links:
Infosheet NIS2 verplichtingen: Registratieplicht https://www.ncsc.nl/over-ncsc/documenten/publicaties/2024/april/30/infosheet-registratieplicht
Infosheet NIS2 verplichtingen: Zorgplicht https://www.ncsc.nl/over-ncsc/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht
Download de Nederlandse versie ‘Infosheet NIS2 verplichtingen: Zorgplicht’ https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2024/februari/27/infosheet-nis2-verplichtingen-zorgplicht/20022024_NCSC_Informatiesheet_Zorgplicht.pdf
Het stappenplan naar NIS2
De implementatie van de nieuwe EU-cybersecuritywetgeving NIS2 in Nederland loopt vertraging op en zal pas begin 2025 worden afgerond, in plaats van de vastgestelde deadline in oktober. De complexiteit van het vertalen van de Europese eisen naar nationale wetgeving is de oorzaak van deze vertraging. Hoewel de vertraging de complexiteit van het voldoen aan hoge cybersecuritystandaarden onderstreept, toont het ook de toewijding van de Nederlandse overheid om deze uiteindelijk te realiseren. Dit zal bijdragen aan een robuuster verdedigingssysteem tegen cyberdreigingen voor essentiële nationale infrastructuur.
Het advies van de overheid is echter niet te wachten totdat de NIS2 wet- en regelgeving volledig duidelijk is, maar nu al aan de slag te gaan met de beveiliging van gegevens. “De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.”.
We helpen je in 3 stappen een stukje op weg om te voldoen aan de zorgplicht.
Stap 1: Maak een risicoanalyse
Digitale dreigingen kunnen uw dienstverlening schaden. Met een duidelijk risicomanagementbeleid kunt u uw digitale weerbaarheid vergroten. Begin met een risicoanalyse waarbij je de te beschermen belangen, dreigingen en jouw huidige weerbaarheid in kaart brengt. Op basis daarvan kun je weloverwogen beslissen hoe je met de risico’s omgaat. Door de volgende vragen te beantwoorden creëer je een basis voor de risicoanalyse:
Wat zijn de kroonjuwelen/te beschermen belangen van mijn organisatie?
Welke dreigingen zijn er ten opzichte van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de te beschermen belangen?
Hoe verhoudt de huidige weerbaarheid van de te beschermen belangen zich tot de dreigingen?
Via de onderstaande links vind je meer informatie, tips en adviezen die kunnen helpen bij het analyseren en beoordelen van de digitale risico’s:
Risico’s beheersen: de waarde van informatie als uitgangspunt risicobeheersing https://www.ncsc.nl/onderwerpen/risicomanagement/documenten/publicaties/2020/juli/21/factsheet-risicobeheersing
Hoe maak je een beleidsplan risicoanalyse: https://www.digitaltrustcenter.nl/nis2/hoe-maak-je-een-beleidsplan-risicoanalyse
Stappenplan risicoanalyse: https://www.digitaltrustcenter.nl/stappenplan-risicoanalyse
Rijksbrede risicoanalyse: https://www.nctv.nl/documenten/publicaties/2022/09/26/rijksbrede-risicoanalyse-nationale-veiligheid
Stap 2: Neem passende maatregelen
Jouw risicomanagementproces geeft inzicht in de juiste maatregelen. Welke maatregelen geschikt zijn, is maatwerk en hangt af van je risicoanalyse. Een goed beginpunt is het toepassen van de NCSC-basismaatregelen of het uitvoeren van voorbereidende NIS2-maatregelen via het Digital Trust Center. Andere voorbeelden van maatregelen zijn:
Het vaststellen van eigenaarschap van informatie.
Het bevorderen van veilig gedrag binnen uw organisatie.
Het verankeren van risicomanagement in uw organisatie.
Een goed vertrekpunt is het toepassen van de basismaatregelen van het NCSC, of ga aan de slag met voorbereidende maatregelen via het NIS2-startpunt (https://www.digitaltrustcenter.nl/nis2/startpunt#10maatregelen) van het Digital Trust Center.
Stap 3: Zorg voor procedures om adequaat te reageren op incidenten
Naast preventieve maatregelen is het belangrijk procedures te ontwikkelen voor het detecteren, oplossen en melden van incidenten. Zo kan uw organisatie snel en adequaat reageren. Volgens de NIS2-wetgeving moeten organisaties incidenten melden bij de CSIRT en toezichthouder. Factoren zoals serviceverstoring of getroffen personen bepalen de meldplicht. Een incident response plan kan helpen deze eisen te verankeren in de bedrijfsprocessen.De NIS2-richtlijn schrijft cyberbeveiligingsmaatregelen voor, met focus op risicoanalyse, incidentrespons, bedrijfscontinuïteit en kwetsbaarheidsbeheer.
SouthernHill staat klaar om je te helpen
SouthernHill kan je bijstaan bij het implementeren hiervan en biedt oplossingen om de beveiligingspositie te versterken. Door de expertise en toolsets van SouthernHill kunnen bedrijven effectief aan de NIS2-eisen voldoen en hun weerbaarheid tegen cyberdreigingen vergroten. SouthernHill is een betrouwbare partner bij het navigeren door cybersecurityregulering en het beschermen tegen cyberaanvallen.