Heeft u de NIS2 in het vizier?

In mei 2022 is de Europese Commissie akkoord gegaan met de hernieuwde en fors aangescherpte wetgeving op het gebied van cybersecurity, specifiek voor organisaties in kritieke sectoren. Met ingang van 2023 moeten bedrijven uit de Europese Unie die ‘essentiële diensten’ leveren, voldoen aan de nieuwe cyber security-richtlijnen van NIS2 (in Nederland NIB2 genaamd). Maar wat houdt dit in en vooral: wat betekent het voor u en uw bedrijfsprocessen? Alexander Snel (Information Security & Privacy consultant bij Nsecure) vertelt in deze blog waarom de NIS2 belangrijk is en hoe organisaties zich hier het beste op kunnen voorbereiden.

NIS1- en NIS2-richtlijn: wat betekent het?

De NIS2 (Network and Information Systems) wetgeving is een Europese wet die zich richt op de beveiliging van digitale netwerken en informatiesystemen. In 2018 werd de NIS1-richtlijn geïntroduceerd in Europa. Deze was van toepassing op digitale dienstverleners en op vitale aanbieders in belangrijke sectoren. De nieuwe NIS2-richtlijn voegt hier sectoren aan toe, zoals afval(water)beheer, post- en koeriersbedrijven, overheidsdiensten en platforms voor sociale netwerken. Kortom, organisaties actief in de essentiële sector en de belangrijke sector.

Essentiële sector:

• Energie
• Vervoer
• Bankwezen
• Infrastructuur van de financiële markten
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur

Belangrijke sector:

• Post- en koeriersdiensten
• Afvalmanagement
• Chemische productie en distributie
• Maakindustrie
• Digital providers

De kern van de richtlijn blijft grotendeels hetzelfde en bestaat uit twee elementen, de zorgplicht en de meldplicht:

1. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk.
2. De meldplicht verplicht organisaties om binnen 24 uur een melding te maken wanneer ze te maken krijgen met een cyberincident.

Aantoonbaar in control en voldoen aan de nieuwe NIS2-richtlijnen

Vanaf Q1 2023 geldt de NIS2-richtlijn binnen de Europese Unie voor organisaties met meer dan 250 personen in dienst en/of 50 miljoen euro aan jaarlijkse omzet. Lidstaten krijgen tot Q3 2024 de tijd om hun landelijke wetgeving aan te passen aan de NIS2-Richtlijn.

Alexander Snel licht toe: “Wanneer een organisatie aangemerkt wordt als essentieel of belangrijk, moet er worden voldaan aan de eisen van de NIS2. Wanneer niet wordt voldoen, kan de organisatie te maken krijgen met hoge boetes (maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet). Medewerkers met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.”

7 uitgangspunten voor de NIS2

Daarnaast dwingt de nieuwe richtlijn organisaties om ook hun keten van toeleveranciers te controleren. Om als organisatie zelf aan de richtlijnen van NIS2 te voldoen, en zodoende boetes te voorkomen, moeten ook uw toeleveranciers namelijk aan dezelfde strenge richtlijnen voldoen. De NIS2 omvat versterking van veiligheidseisen op de volgende zeven elementen:

1. De verplichting van het voeren van informatiebeveiligingsbeleid: Hier staan in grote lijnen het beleid van uw organisatie in het kader van informatiebeveiliging en hoe de organisatie haar doelen op het gebied van informatiebeveiliging wil bereiken.
2. De verplichting van het uitvoeren van risicoanalyses & de controle: met betrekking tot de effectiviteit van het risicobeheer. Hiermee zorgt uw organisatie dat u zicht heeft op de risico’s en mitigerende beheersmaatregelen kan nemen om de risico’s te verlagen.
3. Incident response planning: Plannen en processen zijn ingericht in geval van een cybersecurity incident.
4. Business Continuity & Crisis beheer: Hiermee zorgt een bedrijf dat er plannen zijn ter behoeve van het herstellen van een ramp, denk hierbij aan brand, maar ook aan cyberaanvallen.
5. Leveranciers-keten beheer: Hiermee zorgt een bedrijf dat haar toeleveranciers voldoen aan de eisen met betrekking tot informatiebeveiliging onder de NIS2 wetgeving.
6. Verplichting van versleuteling: denk aan het versleutelen van data over netwerken en data in opslag.
7. Verplichting van het delen van kwetsbaarheden: hiermee zet de EU in op meer samenwerking binnen de IT wereld.

Zo helpt Nsecure

De komende maanden hebben organisaties de tijd om zich voor te bereiden en processen en tools te implementeren en te optimaliseren. Alexander Snel: “Bij Nsecure begrijpen we de noodzaak van security en compliance van onze opdrachtgevers op alle gebieden. We zijn intrinsiek gemotiveerd en kijken continu hoe we de mate van controle over alle processen naar een niveau hoger kunnen tillen. Deze verantwoordelijkheid heeft zich vertaald in onze certificeringen ISO27001, ISO27701 en SOC2 type II assurantieverklaring. Zo blijven onze diensten toekomstbestendig en zijn onze klanten aantoonbaar ‘in control’.”

Bij Nsecure stellen we verreikende en toetsbare veiligheidseisen aan de organisatie en onze leveranciers. Onze visie sluit aan op de NIS2-richtlijn in het kader van continue verbetering van veiligheidsmaatregelen. Voor Nsecure en onze ketenpartners geldt dan ook dat we voldoen aan het veeleisende normenkader van NIS2. Hierdoor zorgen we er (indirect) voor dat opdrachtgevers compliant zijnn. De NIS2-Richtlijn zal de komende jaren verder ontwikkelen en uitgebreid worden. Nsecure volgt deze ontwikkelingen op de voet.