Als je werkzaam bent in de Nederlandse ICT-sector, is de kans groot dat je al bekend bent met NIS2. Zo niet, dan is het goed dat je dit leest. NIS2 is de nieuwste EU-richtlijn die tot doel heeft de cybersecurity en cyberweerbaarheid in heel Europa te versterken. Maar wat houdt NIS2 eigenlijk in en hoe kan het van invloed zijn op jouw organisatie? In deze blog gaan we dieper in op de belangrijkste aspecten van NIS2 en de gevolgen ervan voor bedrijven en instellingen.
Wat is de NIS2-richtlijn?
NIS2, als opvolger van de NIS-richtlijn, is in het leven geroepen om de cybersecurity en digitale weerbaarheid in heel Europa te versterken. Het doel is bescherming te bieden aan organisaties die een cruciale rol spelen in de internetinfrastructuur. Deze maatregelen zijn ingesteld om te reageren op de toenemende dreiging van geavanceerde cyberaanvallen en zo de digitale veiligheid van de EU-lidstaten te waarborgen.
Wanneer gaat NIS2 in?
Naar verwachting zal de wet in 2025 in werking treden, nadat deze door het parlement is behandeld. Organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. Het is dus van belang om je de komende maanden goed voor te bereiden.
Security is niet langer optioneel
Het vermijden van boetes mag natuurlijk nooit de enige motivatie zijn om je beveiliging op orde te hebben. Iedere organisatie zou zich bewust moeten zijn van het belang van cybersecuritymaatregelen. Cyberaanvallen worden steeds geavanceerder en frequenter, met ernstige gevolgen voor systemen, gegevens en reputatie. Een succesvolle cyberaanval kan de bedrijfscontinuïteit verstoren en de reputatie van een organisatie schaden. Daarom is cybersecurity geen optionele investering meer, maar een essentieel onderdeel van het moderne bedrijfsleven.
Door de juiste maatregelen te implementeren, verklein je niet alleen de kans op een aanval, maar minimaliseer je ook de impact ervan als het toch gebeurt.
Bestuurders worden persoonlijk aansprakelijk
Met de komst van NIS2 is de vrijblijvendheid sowieso volledig verdwenen. NIS2 voegt namelijk iets opvallends toe: bestuurders zijn nu persoonlijk verantwoordelijk en aansprakelijk voor NIS2-compliance. In dit scenario kan de bestuurder persoonlijk aansprakelijk worden gesteld voor het falen van NIS2-compliance. Dit kan leiden tot financiële boetes, juridische geschillen en aanzienlijke reputatieschade voor zowel de bestuurder als de organisatie. Bovendien kunnen klanten en stakeholders hun vertrouwen in jouw organisatie verliezen, wat je bedrijfsvoering ernstig kan beïnvloeden. Dit benadrukt dus het belang van actieve betrokkenheid en naleving van cybersecuritymaatregelen door bestuurders.
Om ervoor te zorgen dat bestuurders en medewerkers voldoende kennis hebben om cyberdreigingen te herkennen is het belangrijk om een passend opleidingsplan te maken. Een praktisch voorbeeld is dat bestuurders regelmatig bijgewerkte cybersecuritytrainingen volgen en deze kennis verspreiden binnen de organisatie, waardoor een bewustere en beter voorbereide werkomgeving ontstaat.
Welke organisaties vallen onder NIS2?
NIS2 maakt een onderscheid tussen belangrijke en essentiële organisaties om specifieke regelgeving toe te passen. Waarom bepaalde organisaties als essentieel en belangrijk worden aangemerkt in de NIS2-richtlijn is niet zomaar een willekeurige keuze. Het heeft alles te maken met het feit dat cyberaanvallen op deze organisaties enorme gevolgen kunnen hebben. Niet alleen voor die organisaties zelf, maar ook voor de cruciale diensten en infrastructuur die onze samenleving draaiende houden. Er is goed gekeken naar welke rol deze organisaties precies spelen in ons dagelijks leven.
Essentiële organisaties:
Deze organisaties zijn van vitaal belang voor het functioneren van onze maatschappij. Denk aan energievoorziening, communicatie, en spoorwegen. Als deze diensten uitvallen, heeft dat grote gevolgen voor ons dagelijks leven. Door essentiële organisaties te beschermen tegen cyberaanvallen, wordt de continuïteit van deze cruciale diensten gewaarborgd.
De volgende organisaties vallen onder essentiële organisaties.
- Aanbieders van telecomdiensten en energievoorziening: Deze organisaties zijn belangrijk voor de continuïteit van onze communicatie en energievoorziening.
- Beheerders van spoorweginfrastructuur: Zij zorgen ervoor dat treinen veilig en efficiënt kunnen rijden.
- Afval- en waterbeheerbedrijven: Deze organisaties zijn essentieel voor de volksgezondheid en het milieu.
- Financiële dienstverleners: Banken, verzekeraars en andere financiële instellingen vallen hieronder.
- Post- en koeriersdiensten: Zij zorgen voor de bezorging van belangrijke documenten en pakketten.
- Onderdelen van de centrale overheid (Rijksoverheid en zelfstandige bestuursorganen): Deze spelen een belangrijke rol in het functioneren van ons land.
Belangrijke organisaties:
Hoewel de organisaties in deze categorie niet altijd als essentieel worden beschouwd, spelen ze nog steeds een belangrijke rol. Lokale overheden, financiële instellingen en andere dienstverleners zijn voorbeelden hiervan. De weerbaarheid van onze digitale infrastructuur wordt vergroot door ook belangrijke organisaties te betrekken bij de NIS2-richtlijn.
De volgende organisaties vallen onder belangrijke organisaties.
- Lokale overheden (gemeenten, waterschappen en provincies): Hoewel ze niet altijd als essentieel worden beschouwd, zijn ze belangrijk voor het dagelijks leven van burgers.
- Overheidsinstanties met activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving: Hoewel ze zijn uitgesloten van de NIS2-richtlijn, zijn ze nog steeds van groot belang voor onze samenleving.
Via deze link kun je controleren of jouw organisatie onder NIS2 valt.
Hoofdpijlers van NIS2: Zorg- en meldplicht
NIS2 draait niet alleen om het voorkomen van incidenten, maar ook om het adequaat reageren als er toch iets gebeurt. Dat brengt ons bij de zorg- en meldplicht. Zorgplicht bij NIS2 betekent dat bedrijven verplicht zijn om passende maatregelen te nemen om cyberbeveiligingsincidenten te voorkomen en te beperken. Dit omvat het identificeren van risico’s, het implementeren van beveiligingsmaatregelen en het rapporteren van incidenten aan de relevante autoriteiten. Als je een inbreuk op de beveiliging ontdekt die de werking van jouw diensten kan beïnvloeden, dan is het tijd om in actie te komen. Melden is niet alleen een verplichting, maar het helpt ook om de schade te beperken.
Voorbeeld: Stel je voor dat een digitale dienstverlener merkt dat er ongeautoriseerde toegang is geweest tot gevoelige klantgegevens. In dit geval is het niet alleen een kwestie van intern oplossen, maar ook van het melden.
Je bent verplicht je cyberincidenten binnen 24 uur (bij dienstverstoring) of binnen 72 uur (in andere gevallen) te rapporteren aan de juiste instanties (toezichthouders) en de getroffen klanten.
Overzicht van toezichthouders
- Rijksinspectie Digitale Infrastructuur (RDI): De RDI houdt toezicht op de naleving van de NIS2-richtlijn voor de energiesector, digitale infrastructuur en digitale dienstverleners.
- Inspectie Leefomgeving en Transport (ILT): ILT houdt toezicht op sectoren zoals transport en milieu.
- Inspectie Gezondheidszorg en Jeugd (IGJ): IGJ houdt toezicht op de gezondheidszorgsector.
Een cyberincident moet daarnaast ook bij het Computer Security Incident Response Team (CSIRT) worden gemeld, dat hulp en bijstand kan verlenen.
Organisaties moeten er ook op toezien dat hun medewerkers zich digitaal veilig gedragen. Een voorwaarde daarvoor is dat zij zich bewust zijn van de risico’s en weten hoe ze die zoveel mogelijk kunnen beperken. Regelmatige trainingen op het gebied van security-awareness zijn daarmee naast het implementeren van passende beveiligingsmaatregelen verplicht.
NIS2 checklist: hoe word je compliant met NIS2?
Laten we eens kijken naar de stappen die je kunt nemen om NIS2-compliant te worden:
- Bepaal of jouw organisatie onder de NIS2-richtlijn valt: Kijk of jouw bedrijf als essentieel of belangrijk wordt beschouwd en dus onder de reikwijdte van NIS2 valt.
- Ontdek waar eventuele tekortkomingen liggen met betrekking tot de richtlijn: Onderzoek waar jouw organisatie mogelijk niet aan de NIS2-verplichtingen voldoet. Denk bijvoorbeeld aan technische beveiligingsmaatregelen, beleidsprocedures en securitybewustzijn van medewerkers. Als je niet weet hoe je dit moet aanpakken, biedt de dienst CISO as a Service van Ictivity ondersteuning en begeleiding om dit proces soepel te laten verlopen.
- Stel vast welke maatregelen nodig zijn om aan de verplichtingen te voldoen: Maak een plan om te voldoen aan de specifieke eisen van NIS2.
- Ontwerp een sterk cybersecurity-kader: Dit moet zowel organisatorische als technische maatregelen bevatten. Dat kan betekenen dat je geavanceerde firewalls installeert, gevoelige gegevens versleutelt, toegangscontrolesystemen invoert en regelmatig beveiligingsaudits uitvoert.
- Voer de maatregelen in jouw bedrijf uit: Nadat het plan klaar is, is het heel belangrijk om de voorgestelde acties echt uit te voeren in de organisatie. Dat kan betekenen dat verschillende afdelingen moeten samenwerken, er geïnvesteerd moet worden in nieuwe technologieën en medewerkers intensief moeten worden getraind.
Dan zijn er nog enkele specifieke acties die jij kunt ondernemen:
- Analyseer de risico’s op het gebied van cyberbeveiliging: Voer regelmatig grondige analyses uit om mogelijke risico’s te identificeren.
- Maak een goed plan voor hoe je omgaat met cyberincidenten. Zorg ervoor dat je organisatie voorbereid is op mogelijke cyberproblemen door middel van een Incident Respons Plan.
- Controleer je contracten: Zorg ervoor dat alle partners in jouw toeleveringsketen voldoen aan de vereiste beveiligingsstandaarden.
- Maak iemand binnen je organisatie verantwoordelijk voor security: Dit is vaak een Chief Information Security Officer (CISO). Dit kan zowel intern als extern zijn, bijvoorbeeld door middel van onze CISO as a Service dienst.
Het is verstandig om tijdig te beginnen met de voorbereidingen om aan de NIS2-richtlijn te voldoen en zo jouw organisatie beter te beschermen tegen cyberaanvallen. Schakel hiervoor gerust hulp in.
NIS2 verplichtingen en controles
NIS2 legt zware verplichtingen op aan organisaties, en de controle op naleving verschilt afhankelijk van de classificatie als essentieel of belangrijk. Voor essentiële organisaties, zoals die in de financiële sector, omvat dit grondige audits, verplichte rapportage aan autoriteiten en actieve monitoring. Belangrijke organisaties, waaronder middelgrote bedrijven, worden regelmatig beoordeeld en ondergaan gerichte controles op specifieke aspecten van cybersecurity. Kort gezegd, de controle-intensiteit hangt af van de rol en impact van de organisatie in de samenleving en de sector. Het niet naleven van deze regelgeving kan leiden tot boetes, waarvan de hoogte afhangt van de categorie van de organisatie.
Zie NIS2 als kans voor groei
In plaats van NIS2 te zien als een last, kun je het ook oppakken als een kans om de digitale weerbaarheid van je organisatie te verbeteren. Door proactief en effectief te handelen, kun je niet alleen voldoen aan de richtlijnen, maar ook een sterker, veerkrachtiger bedrijf opbouwen. Dit is belangrijk, want een incident kan slecht zijn voor de reputatie van je bedrijf en het kost doorgaans meer tijd om het vertrouwen terug te winnen dan het implementeren van een goed securitybeleid.
We hopen dat deze gids je helpt om de complexiteit van NIS2 te begrijpen en stappen te ondernemen naar naleving en succes. Als je toch met vragen zit, aarzel dan niet om professioneel advies in te winnen. Als je niet weet waar je moet beginnen, is onze Cybersecurity Assessment een goede eerste stap.
Terug naar overzicht