
De komst van de NIS2-richtlijn ligt al even op de loer en houdt veel organisaties bezig. Wat houdt het nu precies in, wat moet ik er als organisatie concreet mee doen en wanneer moet ik hieraan beginnen? We geven je er in dit blog graag een goed beeld van.
Met Remco van Santen, TISO bij Innvolve.
Nog even terug: wat is de NIS2-richtlijn?
NIS is de afkorting van de Network and Information Security directive. NIS“2” geeft aan dat het de opvolger is van de voormalige NIS-richtlijn: een richtlijn van de Europese Unie (EU). De digitale veiligheid van organisaties en informatiesystemen komt namelijk steeds meer onder druk te staan. De NIS2-richtlijn heeft daarom als doel het verbeteren van de weerbaarheid van EU-lidstaten tegen cyberincidenten. Hiermee worden ook strengere vereisten opgesteld rondom incidentmeldingen.
Wanneer treedt de NIS2 in werking?
NIS2 wordt op dit moment omgezet naar de Nederlandse Cyberbeveiligingswet (Cbw). Daarmee zal de Wet beveiliging netwerk en informatiesystemen (Wbni) komen te vervallen wanneer het zover is. Naar verwachting treedt de Cyberbeveiligingswet formeel in werking in het derde kwartaal van dit jaar, aldus de Digitale Overheid. Dit betekent natuurlijk niet dat je dan pas actie hoeft te ondernemen. Later in dit blog daarover meer.
Wanneer valt een organisatie onder de NIS2-richtlijn?
Twee belangrijke eigenschappen van een organisatie bepalen of deze moet voldoen aan de NIS2-regeling: de omvang van de organisatie én de sector waarin de organisatie opereert.
Omvang
De NIS2-regelgeving is van toepassing op grote en middelgrote organisaties in de EU-lidstaten.
- Grote organisaties. Minimaal 250 werknemers óf een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro;
- Middelgrote organisaties. Minimaal 50 werknemers óf een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Sector
De volgende belangrijke en kritieke sectoren moeten zich in de basis houden aan de richtlijn:
- Energie
- Transport
- Financiële instellingen
- Gezondheidszorg
- Drink- en afvalwater
- Digitale infrastructuur
- ICT-beheerders
- Overheidsdiensten
- Ruimtevaart
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Manufacturing/industrie
Er zijn echter een aantal typen organisaties die direct onder de Cyberbeveiligingswet vallen, ongeacht de omvang van de organisatie. Dit gaat over de Overheid, aanbieders van elektronische communicatienetwerken, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-leveranciers en leveranciers van domeinregistratiediensten.
Wat zijn de tien Zorgplichtmaatregelen?
De NIS2-richtlijn stelt een aantal verplichtingen op verschillende gebieden.
Registratieplicht
Elke organisatie uit de EU-lidstaten, van middelgrote of grote omvang, uit kritieke sectoren, moet zich registreren bij het Nationaal Cyber Security Centrum (NCSC) als onderdeel van de NIS2-regelgeving.
Meldplicht
Meldplicht stelt dat organisaties incidenten verplicht binnen 24 uur moeten melden bij hun toezichthouder. Dit hoeft niet voor elk incident, maar voor degene die een impact hebben op de continuïteit en kwaliteit van de dienstverlening. Wanneer er sprake is van een cyberincident, moet dit ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Zij zijn beschikbaar voor de nodige hulp.
Hoe bepaal je of het incident gemeld moet worden? Stel jezelf de volgende vragen:
- Hoeveel personen zijn geraakt door het incident?
- Hoeveel impact heeft het incident op de dienstverlening?
- Wat zijn de financiële gevolgen van het incident?
Toezicht
Bij de NIS2-richtlijn hoort ook verplicht toezicht door een onafhankelijke toezichthouder. Dit betekent dat hij of zij in de gaten houdt hoe het met de naleving van de verplichtingen gesteld is.
Zorgplicht
Tot slot zorgt Zorgplicht ervoor dat organisaties een eigen risicobeoordeling uitvoeren, op basis van een aantal vooraf opgestelde regels. Daaropvolgend moeten een aantal maatregelen worden getroffen om eventuele zwaktes in cybersecurity aan te pakken.
Om de Zorgplicht concreter te maken, hebben we een lijst met maatregelen die daar de basis voor vormen:
Maatregelen van de Zorgplicht
- Het uitvoeren van een risicoanalyse en zorgen voor een veilige inrichting van informatiesystemen;
- Het versterken van beveiligingsaspecten, zoals personeel, toegangsbeheer en assetmanagement;
- Het waarborgen van bedrijfscontinuïteit door middel van back-upbeheer en noodplannen;
- Effectief omgaan met incidenten en het opstellen van responsstrategieën;
- Het verbeteren van cyber best practices en het aanbieden van cybersecuritytrainingen;
- Beveiligen van systemen bij de aanschaf, ontwikkeling en onderhoud, inclusief het omgaan met kwetsbaarheden;
- Zorgen voor veiligheid in de toeleveringsketen en samenwerking met leveranciers;
- Het opstellen van beleid voor het gebruik van cryptografie en encryptie;
- De implementatie van multifactorauthenticatie en veilige communicatie voor spraak, video en tekst, inclusief noodsystemen;
- Evaluatie van de effectiviteit van maatregelen voor cyberbeveiligingsrisico’s door middel van beleid en procedures.
Waar start je met de implementatie van NIS2?
Natuurlijk is het niet zo dat de NIS2-richtlijnen pas belangrijk zijn wanneer de Cbw in werking treedt in Nederland. De cyberrisico’s zijn er namelijk altijd, dus weerbaarheid is ook nu nodig. Om je concreet een handje te helpen, hebben we een aantal tips en acties die je kunt uitvoeren om een eerste stap te maken.
- Voer alvast een risicoanalyse uit voor je organisatie. Daarmee voldoe je niet alleen direct aan één van de maatregelen van Zorgplicht, maar bepaal je ook vroegtijdig de huidige status van cybersecurity binnen je organisatie. Zo kan je snel acteren op maatregelen die nodig zijn voor jouw organisatie om zwaktes te aan te pakken;
- Stel een actieplan op. Veel maatregelen zijn al bekend en daardoor ben je in staat om hier goed op voor te bereiden. Bepaal op basis van de eerder gemaakte risicoanalyse welke maatregelen opgezet moeten worden. Maak de acties concreet, wijs teams aan, bereid werknemers voor en denk processen uit. Acties zijn bijvoorbeeld het opzetten van een Security Operations Center (SOC), Micro SOC of een firewall;
- Role Based Access Control. Besteed aandacht aan toegangsbeheer binnen de organisatie. Beperk toegang tot kritieke informatie en technologie tot alleen de noodzakelijke personen binnen de organisatie. Zo voorkom je dat gevoelige informatie terechtkomt bij mensen waar het niet voor bestemd is, bijvoorbeeld met het gebruik van Microsoft Copilot;
- Stel multifactorauthenticatie in. Beveilig toegang tot devices, je organisatienetwerk en applicaties met MFA. Dit maakt het voor cybercriminelen ingewikkelder om in te breken;
- Houd je programma’s up-to-date. Het klinkt misschien vanzelfsprekend maar dat blijkt in de praktijk zeker niet zo te zijn: het is belangrijk om kwetsbaarheden in je software snel op te lossen door updates en patches. Installeer sowieso antivirus- antimalware-, en antispywareprogramma’s en zorg ook dat je deze regelmatig update. Alleen op die manier blijven de systemen effectief tegen nieuwe cyberdreigingen;
- Zorg voor een Herstelplan. Voorkomen is natuurlijk altijd beter dan genezen. Maar wanneer een cyberaanval tóch plaatsvindt, wil je niet dat je data verliest of versleuteld wordt. Stel regelmatige back-ups in en SLA dit op een aparte locatie op. Met een goed uitgedacht Disaster Recovery plan ben je in staat om je informatie snel te herstellen en kernactiviteiten zo weer op te pakken. Wat een herstelplan inhoudt, lees je hier.
NIS2 Assessment
Wij bieden een uitgebreide audit, ook wel een checklist die we samen doorlopen, waarmee we jouw organisatie grondig kunnen controleren op NIS2-compliancy. Met het NIS2 Assessment – nog niet volledig uitgerold, maar we voeren het al wel uit – komt je een Technical Information Security Officer langs bij jouw organisatie. Voor drie of vijf werkdagen, afhankelijk van de omvang en complexiteit van je organisatie en netwerk. Deze dagen wordt het assessment afgenomen, met als gevolg een gap-analyse opgesteld door de TISO. Deze analyse stelt waar jouw organisatie op security-vlak nog wat te winnen heeft of zwak scoort.
De gap-analyse gieten we met elkaar in een concreet verbeter- of actieplan om ervoor te zorgen dat jouw organisatie zo snel mogelijk aan de NIS2-richtlijnen voldoet. We kunnen ons voorstellen dat je voor die verbeteracties niet altijd de juiste mensen in dienst hebt of je je liever blijft focus op de kernactiviteiten. Dus ook daar kunnen we bij helpen. Denk aan een Micro SOC van Innvolve of ondersteuning van een consultant.
Conclusie
Middelgrote en grote organisaties uit kritieke sectoren binnen de EU-lidstaten moeten – naar verwachting – vanaf het derde kwartaal van 2025 voldoen aan de richtlijnen van de Cyberbeveiligingswet (Cbw). Al is het moment nog niet daar, het is zeker niet onbelangrijk om de juiste voorbereidingen te treffen en een inschatting te maken van waar je als organisatie staat wat betreft compliancy.
We begrijpen ook dat dit veel tijd kost en daar niet altijd voldoende prioriteit aan kan worden gegeven. En aangezien het wel ónze dienstverlening is, helpen we je graag. Niet alleen met een assessment, maar ook eventuele verdere stappen om als organisatie te voldoen aan de NIS2-richtlijn.
Gewoon even sparren, meer weten over NIS2-richtlijn of een kosteninschatting krijgen van onze Security-diensten? Laat het ons gerust weten of neem zelf contact op met Dave.
Meer innformatie?
Wil je meer weten over NIS2-richtlijn en -assessment, neem dan contact met ons op.