WAT IS DE NIEUWE NIS2 WETGEVING?

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de fysieke, digitale en economische weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van NIS2-richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Naar verwachting zal de wet eind 2024 in werking treden nadat deze door het parlement is behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

BESTUURLIJKE AANSPRAKELIJKHEID

De NIS2-richtlijn stelt eisen aan het bestuur, risicobeheer, bedrijfscontinuïteit en de rapportage van dreigingen en incidenten aan de autoriteiten. Zo moet het management van een organisatie bekend zijn met de eisen van de NIS2 en de inspanningen op het gebied van risicobeheer. Bestuursleden moeten er bovendien op toezien dat regels worden nageleefd. Ze worden straks ook hoofdelijk aansprakelijk wanneer verplichtingen niet worden nageleefd.

Dat betekent dat directie en bestuur van een organisatie over voldoende kennis en vaardigheden moet beschikken om te kunnen inschatten welke gevolgen een cyberincident voor hun organisatie kan hebben. Daarnaast moeten ze concreet inzichtelijk hebben welke securitymaatregelen het bedrijf heeft genomen en of deze voldoen aan de wettelijke verplichtingen. Door het Nationaal Cyber Security Centrum en het Ministerie van Justitie en Veiligheid is een handreiking opgesteld waarin de minimum vereiste maatregelen uiteen worden gezet.

MELDPLICHT EN BOETES

Er komt met NIS2 bovendien strenger toezicht op governance. Organisaties die de vereiste maatregelen niet voldoende implementeren, kunnen flinke boetes tegemoetzien. Gebrekkige naleving wordt niet alleen gecontroleerd door toezichthouders, organisaties hebben onder de nieuwe wet- en regelgeving zelf een meldplicht, vergelijkbaar met de meldplicht wanneer er een datalek geconstateerd is. De NIS2-melding moet binnen 24 uur worden gedaan, gevolgd door een eindverslag, uiterlijk een maand later. Niet alleen incidenten moeten worden gemeld, ook dreigingen.

In het geval van non-compliance heeft dit in de toekomst gevolgen voor natuurlijke personen. Wanneer de maatregelen onvoldoende wordt bevonden of de meldplicht wordt geschonden, kunnen boetes worden opgelegd van tenminste 10 miljoen euro of 2 procent van de wereldwijde jaaromzet van de organisatie (afhankelijk van welk bedrag hoger is). Dit maakt cybersecurity niet langer een zaak voor de IT-afdeling, maar een verantwoordelijkheid van het bestuur.

WELKE ORGANISATIES VALLEN ONDER DE NIS2-RICHTLIJN?

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. De organisaties die onder de NIS2-richtlijn vallen behoren tot:

Essentiële entiteiten

Belangrijke entiteiten

Grote organisaties die actief zijn in onderstaande sectoren:

Middelgrote organisaties die actief zijn in een sector uit de eerste kolom en middelgrote en grote organisaties die actief zijn in onderstaande sectoren:
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Een organisatie is groot op basis van de volgende criteria:

  • minimaal 250 werknemers of;
  • een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

Een organisatie is middelgroot op basis van de volgende criteria:

  • minimaal 50 werknemers of;
  • een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

 

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling, bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Daarnaast zijn er nog micro- en kleine bedrijven die wel onder de NIS2-richtlijn vallen. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten, vallen wél automatisch onder de NIS2-richtlijn. Overheidsinstanties uit de bovenstaande sectoren vallen ook automatisch onder NIS2-richtlijn.

WELKE MAATREGELEN MOETEN ORGANISATIES NEMEN?

Op het moment van schrijven is het nog steeds onduidelijk welke onderliggende beveiligingsmaatregelen het NIS2-risicobeheer omvat, omdat er geen verwijzing is naar specifieke beveiligingscontroles of een verwijzing naar een onderliggend raamwerk zoals ISO 27001 of CIS-controles. Dit betekent dat het enigszins onduidelijk blijft wat er onder NIS2 vereist is.

Echter op basis van de huidige NIS regelgeving en publicaties van het Nationaal Cyber Security Centrum en het Nationaal Coördinator Terrorismebestrijding en Veiligheid van de overheid, kan worden gesteld dat organisaties ten minste de volgende risicobeheersmaatregelen dienen te nemen:

  • In kaart brengen van de gebruikte netwerk- en informatiesystemen
  • Inventariseren en analyseren van risico’s
  • Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing en het organiseren van incident response.
  • Identificeren van alternatieve toeleveringsketens
  • Bewustwording van personeel van risico’s en te nemen maatregelen
  • In kaart brengen van de eigen assests (dus de eigen netwerk- en informatiesystemen)
  • Richt risicomanagement in
  • Pas sterke authenticatie toe
  • Bepaal wie toegang heeft tot uw data en diensten
  • Beperk het aanvalsoppervlak
  • Gebruik versleuteling
  • Bescherm uw organisatie tegen verlies van gegevens
  • Richt patchmanagement in
  • Centraliseer en analyseer loginformatie

NIS2 COMPLIANCY OPLOSSING VAN OBI VOOR ORGANISATIES

De risicobeheersmaatregelen die in de richtlijn zijn vastgelegd, overlappen grotendeels met het raamwerk van de OBI ICT scan die wij periodiek uitvoeren bij klanten als onderdeel van de standaard ICT dienstverlening om de veiligheid van het computernetwerk te waarborgen.

De OBI ICT scan bestaat uit een risicobeoordeling met daaraan gekoppeld technische beheersmaatregelen om een computernetwerk als veilig te kunnen bestempelen. De NIS2 richtlijn voorziet echter ook organisatorische beheersmaatregelen zoals een bedrijfscontinuïteitsplan (BCP) of cyber security awareness trainingen voor medewerkers. Om ook hierin te voorzien heeft OBI een scan ontwikkeld die voorziet in de NIS2 wetgeving én de AVG privacy wetgeving.

Met deze scan kan OBI uw organisatie helpen te voldoen aan de AVG privacywetgeving en de nieuwe NIS2 wetgeving met security officers die u helpen de juiste organisatorische beheersmaatregelen te implementeren, zoals een risico inventarisatie, een gedragscode met een IB beleid, on- en offboarding protocollen, een BCP en een Cyber Security Awareness programma voor uw medewerkers.

BRONNEN

Voor dit artikel zijn als bron de volgende websites gebruikt van overheidsinstanties:

OVER OBI

OBI is gespecialiseerd in volledige outsourcing van uw ICT. Dat betekent het bouwen, beheren en bewaken van uw ICT omgeving bij u in-house op uw eigen locatie in combinatie met de laatste cloud-ontwikkelingen op gebied van Microsoft 365 en Microsoft Azure.

OBI ondersteunt uw ICT en uw medewerkers met een vriendelijke supportdesk en hoog opgeleide systeembeheerders. Om de beveiliging van uw computernetwerk te waarborgen maken wij gebruik van de laatste technieken op gebied van periodieke ICT scans en -audits, ticketsoftware en server bewaking- en monitoringsystemen om de kans op downtime, hack aanvallen en ransomware te minimaliseren.

Daarnaast ondersteunt OBI uw ICT met het helpen voldoen aan de AVG privacywetgeving en de nieuwe NIS2 wetgeving met security officers die u helpen de juiste organisatorische beheersmaatregelen te implementeren, zoals een risico inventarisatie, een gedragscode met een IB beleid, on- en offboarding protocollen, een BCP en een Cyber Security Awareness programma voor uw medewerkers.

OBI bestaat sinds 01-01-2001 en bestaat uit een team van 20 mensen. OBI is ISO27001 gecertificeerd en heeft een brede klantenkring opgebouwd van organisaties tussen de 20 en 300 computerwerkplekken, wat een hoge continuïteit van dienstverlening garandeerd.