Wat betekent de NIS2-richtlijn voor uw organisatie?

Vanwege de toenemende afhankelijkheid van technologie in onze samenleving streeft de Europese Unie naar een Europees cybersecuritybeleid. De richtlijn Netwerk- en Informatiesystemen (NIS1) moet zorgen voor een betere weerbaarheid en veerkracht van de EU-lidstaten. De NIS2-richtlijn is de nieuwste aanwinst binnen dit streven en is een uitbreiding op de NIS. In Nederland is de NIS-richtlijn geïmplementeerd als de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Waar de NIS1 van toepassing was op kritische sectoren, wordt deze uitgebreid naar sectoren die worden bestempeld als belangrijk voor de economie en samenleving. Daarnaast kunnen er financiële sancties worden opgelegd aan bedrijven die niet voldoen aan de NIS2. Dit artikel legt uit wat NIS2 inhoudt, wanneer het van toepassing is, en hoe het zich toepast op organisaties. Bij nieuwe wet- en regelgeving kan er veel op uw organisatie afkomen. DTX kan u bij elke stap ontzorgen of ondersteunen op basis van onze producten en diensten.

WAT IS DE NIS2-RICHTLIJN? 

In 2016 werd de NIS-richtlijn gepubliceerd als Europese richtlijn voor haar lidstaten om de cybersecurity op Europees niveau te reguleren en te versterken. Met de toenemende afhankelijkheid van technologie maar ook de toenemende dreiging wordt deze richtlijn uitgebreid met de NIS2. EU-lidstaten hebben tot september 2024 om deze richtlijn te implementeren. Hiermee wordt Europa-breed een hoger cybersecurity minimum gehanteerd. Daarmee komen er ook verscherpte eisen voor de desbetreffende organisaties. Zo komen er meer eisen rondom security monitoring, controle en toezicht, risicobeheersing, en incident respons. Daarnaast zullen deze eisen aan meer sectoren worden toegekend onder NIS2.

BELANGRIJKSTE NIS2 AANPASSINGEN 

De NIS2 is een uitbreiding op NIS1 en zal dus bepaalde tekortkomingen aanvullen en op andere gebieden uitbreiden om aan nieuwe en toekomstige behoeften te voldoen. Belangrijke aanpassingen van NIS2 zijn: 

  • Het toepassingsgebied wordt uitgebreid waardoor er meer sectoren onder NIS2 vallen. Dit is gebaseerd op hoe cruciaal de sectoren zijn voor de economie en de samenleving. Het zal gaan om alle middelgrote en grote organisaties binnen de geselecteerde sectoren. Daarnaast biedt NIS2 lidstaten de flexibiliteit om kleinere bedrijven eventueel ook aan te merken onder de categorie ‘belangrijk’ vanwege een hoog risico. 
  • Onderscheid tussen essentiële en belangrijke sectoren. Deze twee categorieën zullen verschillen op basis van controle en sancties. 
  • Een stroomlijning aan basisvoorwaarden op het gebied van security en rapportages. Onderdelen hiervan zijn verhoogde eisen voor risicobeheersing en incident respons. Zo worden organisaties verantwoordelijk gehouden voor het identificeren en opvolgen van digitale risico’s.  
  • Organisaties moeten security risico’s van de interacties met toeleveringsketens en leveranciers ook aanpakken. Hier wordt later op toegelicht. 
  • Bepalingen voor desbetreffende organisaties rondom incident meldingen en de tijdlijn en inhoud van deze meldingen. 
  • Strengere supervisie vanuit nationale autoriteiten, waarbij er ook strikter zal worden gehandhaafd. 
  • Meer samenwerking tussen de autoriteiten van lidstaten omtrent kwetsbaarheden en incidenten.

OVERZICHT VAN ESSENTIËLE EN BELANGRIJKE SECTOREN 

Essentieel

  • Energie: de leveranciers en distributeurs van elektriciteit, stadsverwarming en verkoeling, olie, gas, waterstof. 
  • Transport: via lucht, spoorwegen, water, wegen. 
  • Bankieren: infrastructuur van de financiële markten. 
  • Gezondheid: producenten van farmaceutische producten, zorgverleners, farmaceutica, onderzoekslaboratoria.  
  • Water: drinkwaterleveranciers, afvalwaterbeheerders. 
  • Digitale Infrastructuur: DNS-dienstleveranciers, TLD-naamregisters, cloud-providers, datacentrum dienstverleners,  elektronische communicatiediensten, ICT-beheerderspartijen. 
  • Openbaar bestuur: overheidsinstanties. 

Belangrijk

  • Post- en koeriersdiensten 
  • Afvalverwerking 
  • Chemicaliën: distributie en vervaardiging. 
  • Voedsel: distributie en productie. 
  • Fabrikanten van kritieke producten: medisch apparatuur, computers, elektronica, machines, motorvoertuigen, aanhangwagens, opleggers en andere transportmiddelen. 
  • Onderzoeksorganisaties
 

WAT EIST NIS2 VAN ORGANISATIES?

NIS2 specificeert niet precies welke cybersecurity tools er toegepast moeten worden, dit zal per organisatie verschillen omdat de risico’s en bedreigingen ook per organisatie anders zijn. Wel heeft NIS2 maatregelen gepubliceerd die het minimaal eist bij de beveiliging van netwerk- en informatiesystemen en de fysieke omgeving (Article 21). Hieronder ziet u enkele eisen die de NIS2-richtlijn aan desbetreffende organisaties stelt met daarbij een korte uitleg waar u aan kunt denken bij dergelijke eisen. 

Beleid rondom risicoanalyse en de beveiliging van de netwerk- en informatiesystemen

Het is belangrijk om risico’s voor uw organisatie inzichtelijk te krijgen. Met risicoanalyses kunt u relevante dreigingen en incidenten op de kaart krijgen en risico’s inschatten voor uw organisatie. Beleid rondom de beveiliging van netwerk- en informatiesystemen heeft bijvoorbeeld betrekking op het tijdig updaten van systemen en actief te handelen op kwetsbaarheden. 

Afhandeling van incidenten

Richt een incidentprocedure in met een responsplan. Dit helpt uw organisatie voor, tijdens en na een security incident. Denk bij zo een procedure aan punten zoals: verschillende scenario’s, de verantwoordelijkheden van diverse medewerkers tijdens een incident, een meldpunt zodat er snel aan de bel kan worden getrokken, en oefening of awareness.  

Bedrijfscontinuïteit zoals back-up management, noodherstel, en crisisbeheer

Bedrijfscontinuïteit betekent dat de organisatie draaiend blijft tijdens een incident en hierna weer naar volledige functionaliteit kan terugkeren. Een beleid rondom back-up management, noodherstel, en crisisbeheer kan helpen om de bedrijfscontinuïteit tot op zekere hoogte te garanderen bij een incident.  

Beveiliging van de toeleveringsketen, inclusief relaties tussen elke entiteit en directe leveranciers en dienstleveranciers

Bedrijven die interactie hebben in uw toeleveringsketen zoals de levering van diensten of producten die belangrijk zijn voor uw bedrijfscontinuïteit. De interacties tussen deze relaties moeten ook beter beveiligd worden, waardoor de beveiliging van de volledige toeleveringsketen wordt gewaarborgd. Denk hierbij aan de leveranciers van diensten zoals gegevensverwerking en -opslag of beheerde security diensten.  

Beveiliging van de netwerk- en informatiesystemen bij de aanschaf, ontwikkeling en het onderhoud van deze systemen. Daarmee ook het behandelen en openbaar maken van kwetsbaarheden

Zo is het ook belangrijk om een inventaris bij te houden van je hardware, software en netwerk assets. Daarnaast dat alle assets van correcte licenties voorzien zijn.  

Beleid en procedures om de doeltreffendheid van risicobeheersmaatregelen te beoordelen

Basis hygiëne en trainingen rondom cybersecurity

Verhoog het bewustzijn van medewerkers binnen uw organisatie op het gebied van cybersecurity. Denk hierbij aan awareness trainingen zodat medewerkers weten waar ze op kunnen letten en om de basis hygiëne binnen uw organisatie te verbeteren. 

Beleid en procedures voor het gebruik van cryptografie en indien van toepassing; encryptie

Het gebruik van encryptie mitigeert de kosten en impact van een data lek significant. Daarom is het belangrijk dat gevoelige data versleuteld is tijdens overdracht en in opslag. Stel hier een beleid op.  

De beveiliging van personeelszaken, toegangscontrole en asset management

Denk hierbij aan Identity & Access Management waar de gebruikers binnen een organisatie moeten authentiseren tot het netwerk en daarnaast autoriseren tot welke applicaties, assets en data binnen het netwerk zij toegang hebben. Beperk toegang tot wat de specifieke gebruiker nodig heeft, kijk bijvoorbeeld naar een Zero Trust-model om veiligheidsrisico’s te verminderen.

IMPACT VAN DEZE WETGEVING

Wanneer een organisatie niet voldoet aan NIS2 terwijl deze daar wel onder valt (bijvoorbeeld een organisatie in de essentiële of belangrijke sector), kan er een boete opgelegd worden. Een boete voor een essentiële organisatie heeft een minimumbedrag van 10 miljoen euro of het gaat om 2% van de totale omzet, dit is afhankelijk van welk van de twee het hoogst is voor de desbetreffende organisatie. Bij een entiteit die bestempeld is als ‘belangrijk’ gaat de boete om een minimum van 7 miljoen euro of 1.4% van de totale omzet. 

Naast deze financiële sancties kunnen personen van de directie strafrechtelijk aansprakelijk gesteld worden wanneer zij NIS2 verplichtingen niet gehoorzamen. Zo vraagt NIS2 ook meer aandacht van bestuursorganen van organisaties. De directie is aansprakelijk en moet zorg dragen  dat er risk assessments worden uitgevoerd, security tools worden toegepast, gepast risicomanagement en dat er genoeg management en trainingsprogramma’s rondom security worden uitgevoerd. 

Essentiele organisaties vallen met NIS2 onder een proactieve supervisie via audits, reviews en andere verplichtingen zoals rapportages. Organisaties onder de categorie ‘belangrijk’ kunnen dit alleen verwachten op een reactieve basis zoals wanneer zij de NIS2-richtlijnen niet naleven.  

NIS2 legt niet alleen eisen op maar helpt organisaties ook op het gebied van cybersecurity. Zo moeten de lidstaten een rol spelen bij het verhelpen van incidenten. Er moeten regelingen komen voor informatiedeling en daarbij moeten organisaties ook gewaarschuwd worden bij bepaalde dreigingen en kwetsbaarheden. Dit gebeurt in Nederland bijvoorbeeld al via het Nationaal Cyber Security Centrum (NCSC). 

Vanuit DTX kunnen wij uw organisatie helpen of advies bieden om de NIS2-richtlijn te implementeren. We kunnen bij uw organisatie op maat kijken hoe deze aan de verschillende eisen kan voldoen via de producten en diensten die wij leveren. Heeft u hulp of advies nodig met uw NIS2-implementatie? Neem contact met ons op. DTX is voor al haar ondernemingen en diensten ISO27001, ISO9001 en NEN7510 gecertificeerd.

Recente artikelen
NIS2 Technical readiness” - Do’s en Dont’s from the field’.

NIS2 Technical readiness” - Do’s en Dont’s from the field’.

Rutger en Julian van Sijp (Bluebird & Hawk) presenteerde over 'NIS2 Technical Readiness - Do's and Dont's from the field bij Experts Live Netherlands in Nieuwegein. In 50 minuten namen…
DTX & IT=Alkmaar - Microsoft Copilot.

DTX & IT=Alkmaar - Microsoft Copilot.

Samen met IT=Alkmaar organiseerden we ons allereerste publieke event van 2024, gewijd aan het fascinerende onderwerp: Microsoft Copilot. Een avond vol inspiratie, kennisdeling, nieuwe connecties en heerlijke pizza! De 3e…
Dutch Women in Tech - DTX Event

Dutch Women in Tech - DTX Event

Tijdens het Dutch Women in Tech & DTX stond vrouwelijk leiderschap centraal. Wyke Nieuwenhuizen MSc nam ons in haar reis naar vrouwelijk leiderschap. Een bijzonder inspirerend, persoonlijk verhaal vanuit kwetsbaarheid…