NIS2 De actuele Europese beveiligingsnorm voor organisaties
Blog 1 van 9
Op 27 december 2022 publiceerde de EU de opvolger van de NIS-richtlijn, namelijk de NIS2-richtlijn. De Network Information Security (NIS) richtlijn is bedoeld om minimale beveiligingsmaatregelen voor te schrijven die horen bij een hoge mate van bescherming van digitale systemen en cyberweerbaarheid. Naar verwachting zal eind 2024 de richtlijn omgezet worden in wetgeving en is dan voor veel organisaties verplicht.
Indeling van Organisaties
De nieuwe richtlijn maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten binnen sectoren. Onder de nieuwe richtlijn moeten veel meer, en ook kleinere, organisaties voldoen aan de wet- en regelgeving. Dit kan al gelden voor organisaties met 50 medewerkers of een jaaromzet en balanstotaal van 10 miljoen euro. Voor een volledig overzicht kunt u terecht bij NCSC-overview-NIS2.
Organisaties waarbij een incident gevolgen kan hebben voor de openbare veiligheid, beveiliging of zorg, of waar een verstoring systeemrisico’s kan veroorzaken, vallen per definitie onder de nieuwe richtlijn.
Doelstellingen van de NIS2-Richtlijn
De richtlijn heeft als doel het niveau van cybersecurity in de EU te verhogen door onder meer:
- Het verhogen van de cyberweerbaarheid in meerdere sectoren.
- Het verplicht stellen van de uitvoering van cybersecuritymaatregelen.
- Het stellen van strenge(re) eisen aan de melding van incidenten.
- Het gelijktrekken van de cybersecurityregels in Europa.
- Het versterken van de samenwerking tussen de lidstaten.
Verschillen Tussen NIS en NIS2
Er zijn enkele belangrijke verschillen tussen de oorspronkelijke NIS-richtlijn uit 2015 en de nieuwe NIS2-richtlijn:
Scope
- NIS2 is van toepassing op meerdere sectoren die als "essentieel" of "belangrijk" zijn gekenmerkt en de toeleveranciers.
- NIS2 is nu ook van toepassing op middelgrote en kleine organisaties.
- NIS2 introduceert strengere eisen voor “strategische entiteiten” zoals overheden, defensie en de energiesector.
Supply Chain
- NIS2 verplicht organisaties om cybersecurity-risico's in hun toeleveringsketen te adresseren.
Meldingsplicht en Sancties
- Een breder scala aan incidenten moet nu verplicht gemeld worden, en dit moet ook sneller gebeuren.
- Voor organisaties die niet aan de regels voldoen, gelden hogere boetes (tot 10 miljoen euro of 2% van de wereldwijde omzet), waarbij ook bestuurdersaansprakelijkheid wordt toegepast.
Eisen en Verplichtingen
De NIS2-richtlijn verplicht organisaties om de cyberbeveiligingsrisico's van hun ICT-systemen te beoordelen en te beheren. Dit omvat zowel het identificeren en mitigeren van de risico's als het rapporteren van incidenten. Wat betekent dit nu voor organisaties? Het gaat om drie kernbegrippen: zorgplicht, meldplicht en toezicht.
Zorgplicht
Organisaties dienen zelf een risicobeoordeling uit te voeren. Op basis daarvan moeten passende maatregelen getroffen worden om de continuïteit van de diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Meldplicht
“Significante” incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht
Organisaties die onder de richtlijn vallen, komen automatisch onder toezicht te staan. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.
Wanneer wordt deze richtlijn een wettelijke verplichting?
De rijksoverheid werkt momenteel aan de omzetting van de NIS2-richtlijn naar nationale wetgeving. Dit kan nog enige tijd duren, hoewel het formeel eind 2024 actief zou moeten zijn. Dat het er aan komt, is zeker, maar de exacte datum is er nog niet.
Wat kunt u nu al doen?
Vooruitlopend hierop kun je met jouw organisatie alvast aan de slag ter voorbereiding op een tweetal onderwerpen:
-
Bepaal of uw organisatie onder de NIS2-richtlijn valt: Als het antwoord positief is, dan ben je verplicht om je te registreren. Dit moet ervoor zorgen dat een Europees-breed beeld ontstaat van het aantal entiteiten onder de NIS2.
-
Maak een risicoanalyse van de digitale dreigingen voor jouw organisatie: Op basis daarvan moeten passende maatregelen genomen worden om de continuïteit van de diensten zoveel mogelijk te waarborgen en om de gebruikte informatie te beschermen.
-
Bepaal hoe de meldplicht vormgegeven kan worden: Incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Wat wordt er straks verwacht?
Op de website van het Ministerie van Economische Zaken en Klimaat (Digital Trust Center Website - NIS2) staan de 10 basismaatregelen als uitvloeisel van de richtlijn. Graag helpen we je bij de verdere uitwerking en eventuele implementatie van de genoemde maatregelen.
Deze blog biedt een overzicht van de nieuwe NIS2-richtlijn en de stappen die organisaties nu al kunnen nemen om zich voor te bereiden. Heb je nog vragen of behoefte aan ondersteuning? Neem dan contact op met Fred Mahler.
Of ga voor meer informatie naar onze website over NIS2
Wil je op de hoogte blijven van al het nieuws omtrent de NIS2-richtlijnen? Meld je dan hier aan voor onze NIS2-nieuwsbrief.
Wil je jouw wereld een stukje slimmer maken?
Neem dan contact op met Mark Jenster.