NIS2
Sinds 16 januari 2023 is de nieuwe cybersecurity richtlijn, NIS2, in werking getreden. Deze richtlijn is een vervanging van de richtlijn uit 2016 en moet Europese landen beter bestendig maken tegen cyberaanvallen. Binnen de richtlijn is het toepassingsgebied flink uitgebreid. Hierdoor zal de aangescherpte regelgeving ook gelden voor publieke organisaties, (mede)overheden én wordt er gekeken naar de volledige leveranciersketen. Grote kans dus dat ook uw bedrijf aan deze wetgeving moet gaan voldoen!
Wat is NIS2?
NIS staat voor Network and Information Security (NIS) en is in Nederland beter bekend als de Netwerk- en Informatiebeveiligingsrichtlijn (NIB). Deze richtlijn is oorspronkelijk in het leven geroepen om de cybersecurity in de EU, binnen de sectoren die sterk afhankelijk zijn van informatie- en communicatietechnologie, te versterken. Inmiddels zorgen de continue ontwikkelingen van digitale mogelijkheden voor een toenemend aantal cyberincidenten. Genoeg reden voor de Europese Commissie om een verscherpte EU-cyberbeveiligingsstrategie voor te stellen: de NIS2.
Waarom is NIS2 belangrijk?
De afgelopen jaren zijn er in Nederland, en de rest van Europa, een toenemend aantal cyberaanvallen. Meldingen van phishing en ransomware zijn aan de orde van de dag, waarbij ook Nederlandse organisaties zich vaak gedwongen voelen grote sommen geld over te maken naar cybercriminelen. Daarnaast wordt de samenleving steeds digitaler. Kritieke sectoren zoals vervoer, energie, gezondheidszorg en financiën, zijn in sterke mate afhankelijk geworden van digitale technologieën voor hun kernactiviteiten. Deze toenemende digitale connectiviteit biedt enorme kansen maar stelt organisaties, en daarmee de samenleving, ook bloot aan cybercriminaliteit.
De herziening van de NIS richtlijn is een gevolg van een analyse van de Europese commissie over de doeltreffendheid van de oorspronkelijke richtlijn. De NIS2 wetgeving gaat voor aanzienlijk meer organisaties gelden en zal een grote impact hebben. Boetes op het niet voldoen aan de NIS2 zijn namelijk niet mals. De EU landen moeten het maximumbedrag van de nog boetes vaststellen, maar in ieder geval gaat het om een maximum van 10 miljoen euro of 2% van de totale omzet.
Wat zijn de nieuwe eisen van NIS2?
De NIS2 stelt uitgebreidere eisen aan cybersecurity dan haar voorganger waarbij dit uiteindelijk neerkomt op het zorg dragen voor cybersecurity. De belangrijkste punten uit de nieuwe eisen zijn:
Personen in de directie van de essentiële entiteit kunnen persoonlijk en misschien wel strafrechtelijk aansprakelijk worden gesteld voor het niet voldoen aan de richtlijn.
Organisaties moeten verplicht cybersecurity incidenten melden.
Meer maatregelen voor het beheer van cyberbeveiligingsrisico’s
Hoewel de NIS2 richtlijn sinds begin dit jaar in werking is getreden, hebben overheden nog 21 maanden (tot 2025) om deze te vertalen naar nationale wetgeving. Dan zal er meer duidelijkheid komen over de precieze invulling van de richtlijn.
Voor wie is NIS2 bedoeld?
Met de komst van de NIS2 richtlijn gaan de cybersecurityregels voor nog meer sectoren gelden. Alle bedrijven en organisaties die een essentiële dienst aan consumenten leveren vallen namelijk onder de nieuwe wet. Voorheen werden bedrijven in de sectoren Energie, Watervoorziening, Gezondheidszorg, Transport, Banken en Financiële Marktinstellingen, Digitale Infrastructuur en Digitale Dienst Aanbieders al gezien als essentiële aanbieders. Onder de nieuwe NIS2 richtlijn vallen nu ook bedrijven in andere sectoren, zoals:
- Voeding
- Ruimtevaart
- Publieke sector
- Post- en koeriersbedrijven
- Afvalwater en afvalbeheer
- Aanbieders van publieke elektronische communicatie, netwerk en diensten
- Digitale diensten zoals sociale netwerkdiensten en gegevenscentrum diensten
- Het produceren van bepaalde kritieke producten.
Naar verwachting zullen ook alle toeleveranciers en ketenpartners van bedrijven die actief zijn in deze sectoren aan de richtlijn moeten voldoen. Daarnaast zal NIS2 zich niet alleen meer richten op grote ondernemingen maar ook het midden- en kleinbedrijf. In totaal zijn er zo’n 160.000 bedrijven in Europa die aan de nieuwe richtlijn moeten gaan voldoen.
Voldoen aan NIS2 met een ISO 27001 certificering?
Het is denkbaar dat organisaties verplicht worden gesteld om te voldoen aan de ISO 27001 door de NIS2 wetgeving. Momenteel moeten Nederlandse overheden namelijk al voldoen aan een variatie op deze norm, de Baseline Informatiebeveiliging Overhoud (BIO). Hierbij ligt er meer nadruk op een set aan organisatorische, mensgerichte en technologische maatregelen dan aan het ‘managen van’ cybersecurity. Door de nieuwe NIS2 richtlijn komt er juist meer nadruk op dit laatste. Namelijk risicomanagement, leveranciersmanagement en incidentmanagement en meer aspecten hiervan worden verplicht gesteld. Dan biedt juist het expliciete management framework van de ISO 27001 meer houvast.
Wel dient de meldplicht van cybersecurity incidenten te worden belegd in de organisatie. Maar verder bouwen op een al goed lopende incidentmanagement procedure (verplichting vanuit ISO 27001) zal aanzienlijk werk schelen om dit te integreren binnen bestaande processen.
Aan de slag met NIS2 via Beschermheren
Beschermheren biedt verschillende scenario’s om te voldoen aan de NIS2 richtlijn of de implementatie van ISO 27001 binnen uw organisatie. Deze zijn gebaseerd op de mate van zelfwerkzaamheid (autonomie om zelfstandig e.e.a. te realiseren) en/of uw zelfredzaamheid (het vermogen zelfstandig e.e.a. te realiseren) en/of de gewenste inzet (ondersteuning) door Beschermheren. Onze mensen zijn gecertificeerde Information Security- en Privacy specialisten die verder gaan dan alleen de ICT aspecten. Ook de mensen en de processen zijn van grote invloed op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie binnen een organisatie.
Wat wij nu al voor u kunnen doen?
Om de informatieveiligheid binnen uw organisatie goed te kunnen waarborgen hebben we het Beschermheren Information Security Framework ontwikkeld. Dit is een gestructureerde en toegankelijke methode om samen met uw organisatie de situatie rondom informatiebeveiliging in kaart te brengen, keuzes te maken over de aanpak en de maatregelen duurzaam te implementeren. Hiermee weten we de complexiteit van informatiebeveiliging te vereenvoudigen.
Inzicht en implementatie
Tijdens de inzichtfase krijgen we een eerste beeld van de wijze waarop de organisatie omgaat met informatie en de daaraan verbonden risico’s. Dit doen we aan de hand van een MAPGOOD analyse. Daarbij raken we alle functionele gebieden (medewerkers, apparatuur, programmatuur, gegevens, organisatie, omgeving en diensten – MAPGOOD) binnen de organisatie. Waar liggen de risico’s en kansen? Welke daarvan zijn het meest belangrijk? Welke maatregelen zijn reeds getroffen en wat is daar het effect van? Dat is de input voor het gesprek met de verantwoordelijken binnen uw organisatie. Samen met hen bepalen we de prioriteiten en maken we een plan van aanpak.
Vervolgens gaan we aan de slag met de verkregen informatie. In deze fase implementeren we de maatregelen en gaan we aan de slag met de technische ICT oplossingen, de processen en het beleid binnen de organisatie. En niet in de laatste plaats het bewustzijn, eigenaarschap en gedrag van medewerkers. Meer weten? Lees hier dan meer over alle stappen binnen het Beschermheren Information Security Framework.
Beschermheren volgt de ontwikkelingen rondom NIS2 op de voet. Bent u benieuwd naar onze mogelijkheden? Neem dan vandaag nog contact met ons op en zet de eerste stappen naar informatiebeveiliging als integraal onderdeel van uw organisatie.
Beschermheren
A man should look for what is, and not for what he thinks should be.
Albert Einstein