NIS2: Alles over de Richtlijn, Wetgeving en de Laatste Status

NIS2: Alles over de Richtlijn, Wetgeving en de Laatste Status

NFIR beeldmerk kleur
NFIR beeldmerk kleur

NIS2: Alles over de Richtlijn, Wetgeving en de Laatste Status

Wat is de NIS2-richtlijn?

De NIS2-richtlijn, ook bekend als de Network and Information Systems Directive, is een Europese wetgeving die gericht is op het versterken van de cyberveiligheid in de Europese Unie. Het beoogt de bescherming van essentiële diensten zoals energie, transport, gezondheidszorg en financiële diensten. De richtlijn vereist dat de Europese lidstaten passende maatregelen nemen om de beveiliging van hun netwerken en informatiesystemen te verbeteren, incidenten te melden en samen te werken bij de bestrijding van cyberbedreigingen.

Waarom de NIS2-richtlijn?

In december 2020 stelde het Europese parlement een herziening van de NIS-richtlijn voor (NIS2). Het parlement vond namelijk dat de huidige NIS-richtlijn door de digitale transformatie van de samenleving niet meer up-to-date was. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. De implementatie en naleving van de NIS2-wetgeving zijn cruciaal voor het waarborgen van een hoog niveau van cybersecurity binnen Europa.

In het kort:

NIS staat voor Network and Information Systems, en NIS2 verwijst naar de tweede versie van de wetgeving met betrekking tot netwerk- en informatiesystemen.

De NIS2-richtlijn is ontworpen om de cyberbeveiliging binnen de EU te verhogen door uitgebreidere en strengere beveiligingseisen voor verschillende sectoren. Het stimuleert betere samenwerking en informatie-uitwisseling tussen EU-lidstaten om effectief te reageren op cyberdreigingen. Met strengere handhavingsmaatregelen en hogere boetes wil NIS2 ervoor zorgen dat beveiligingsprotocollen door de relevante Europese sectoren consequent worden toegepast en gehandhaafd.

Diverse dreigingen zetten de veiligheid van onze maatschappij en economie in toenemende mate onder druk. Denk daarbij aan de oorlog in Oekraïne, cyberdreigingen, de gevolgen van klimaatverandering en COVID-19.

Om de fysieke, digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken heeft de Europese Unie eind 2022 twee richtlijnen aangenomen; de Critical Entities Resilience Directive (CER-richtlijn) en de Network and Information Security Directive (NIS2-richtlijn). U vindt op de pagina van het nctv.nl meer informatie over deze richtlijnen

  1. Identificatie van operators van essentiële diensten (OES)
    Onder deze wet zijn bepaalde bedrijven en organisaties die als essentieel worden beschouwd, verplicht om passende beveiligingsmaatregelen te implementeren.
  2. Digitale dienstverleners: 
    Daarnaast zijn digitale serviceproviders ook onderhevig aan deze wet en moeten zij maatregelen nemen om incidenten te voorkomen en indien nodig, deze te melden.
  3. Samenwerking tussen EU-lidstaten:
    De NITC (Network Information Security Cooperation Group) faciliteert samenwerking tussen lidstaten bij cybersecurity-inbreuken.
  4. Rapportagevereisten:
    Bedrijven die onder deze regelgeving vallen, moeten ernstige cyberincidenten rapporteren aan nationale autoriteiten.
  5. Boetes:
    In geval van niet-naleving kunnen er aanzienlijke boetes worden opgelegd aan overtreders van de NIS2-verordening.
  6. Wettelijk kader voor cybersecurity: 
    Biedt een algemeen wettelijk kader voor cybersecurity binnen Europa om een geharmoniseerde aanpak op dit gebied te waarborgen.

Inhoudsopgave

Wat is het verschil tussen NIS2 en de eerste NIS-richtlijn?

De NIS2-richtlijn is de opvolger van de eerste NIS (Network and Information Systems) richtlijn die in 2016 is aangenomen. Beide richtlijnen zijn gericht op het versterken van de cyberveiligheid in de EU, maar er zijn enkele belangrijke verschillen tussen de twee.

  • De eerste NIS-richtlijn richtte zich voornamelijk op de verantwoordelijkheden van lidstaten voor de bescherming van hun eigen netwerken en informatiesystemen. De NIS2-richtlijn daarentegen is gericht op de bescherming van essentiële diensten zoals energie, transport, gezondheidszorg en financiële diensten.
  • De NIS2-richtlijn vereist een verplichte melding van incidenten voor organisaties die essentiële diensten aanbieden of beheren. In de NIS1-richtlijn is incident melding niet verplicht.
  • De NIS2-richtlijn vereist ook dat organisaties die essentiële diensten aanbieden of beheren risico-inventarisatie en -evaluatie uitvoeren om de beveiliging van hun netwerken en informatiesystemen te verbeteren. De NIS1-richtlijn vereist geen specifieke risico-inventarisatie en -evaluatie.
  • De NIS2-richtlijn vereist ook dat lidstaten samenwerken bij de bestrijding van cyberbedreigingen en incidenten melden aan de Europese Commissie. De NIS1-richtlijn vereist geen specifieke samenwerking.

Samengevat zorgt de NIS2-richtlijn ervoor dat meer bedrijven zich moeten houden aan strengere regels. Verder zijn deze bedrijven verplicht incidenten te melden. Ook vereist de NIS2-richtlijn een betere samenwerking tussen lidstaten.

Hieronder ziet u een tabel met de verschillen tussen de NIS-richtlijn en NIS2-richtlijn:

NIS-richtlijn

NIS2-richtlijn

Scope:
De oorspronkelijke NIS-richtlijn richtte zich voornamelijk op operators van essentiële diensten in vitale sectoren zoals energie, transport, financiën.

Scope:
De reikwijdte is uitgebreid naar zowel aanbieders van essentiële als digitale diensten, waardoor meer organisaties onder deze wetgeving vallen.

Verplichtingen: 

Incident melding niet verplicht, legde nadruk op rapportageverplichtingen bij incidenten.

Verplichtingen: 

Incident melding verplicht voor organisaties die essentiële diensten aanbieden of beheren. Introduceert strengere veiligheidsmaatregelen die bedrijven moeten implementeren naast het melden van incidenten.

Doel:

Gericht op het verbeteren van cybersecuritycapaciteiten binnen vitale sectoren. Geen specifieke risico-inventarisatie en -evaluatie vereist.

Doel:

Gaat breder door de hele digitale economie te bestrijken terwijl het tracht maximale harmonisatie tussen lidstatigen bereikt. Risico-inventarisatie en -evaluatie vereist voor organisaties die essentiële diensten aanbieden of beheren.

Toezicht:

Gaf elke lidstaat vrijheid in naleving, wat leidde tot inconsistenties. Geen specifieke samenwerking vereist.

Toezicht:

Streeft naar een meer geharmoniseerd toezichtsmechanisme om consistentere nalevingsnormenties binnen de EU-lidstatigen mogelijk te maken. Samenwerking tussen lidstaten vereist en incidenten melden aan Europese Commissie.

Bovenstaande tabel is slechts een samenvatting van de belangrijkste verschillen, het is zinvol de NIS2-richtlijnen zelf te raadplegen voor meer informatie.

Overige relevante wijzigingen die NIS2 met zich meebrengt:

  • Het onderscheid tussen exploitanten van essentiële diensten en aanbieders van digitale diensten wordt opgeheven. Dat betekent dat alle middelgrote en grote entiteiten die actief zijn in sectoren of diensten verlenen die onder de richtlijn vallen aangemerkt worden als aanbieders van essentiële diensten;
  • Het verscherpt de beveiligingseisen door het opleggen van een aanpak voor risicobeheersing met een lijst van minimale basisbeveiligingselementen die toegepast moeten worden;
  • De invoering van meer precieze bepalingen inzake de procedure voor incidentenmelding, de inhoud van de meldingen en de termijnen. Entiteiten moeten elkaar en het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte brengen van belangrijke cyberincidenten en -dreigingen;

Daarnaast wordt in de NIS2 bepaald dat de nationale autoriteiten strenger moeten handhaven op het naleven van deze regels. Er zal sprake zijn van een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd. Het doel van deze richtlijn is dus meer dan ooit om de cybersecurity op een fatsoenlijk niveau te brengen en houden. Wanneer bedrijven en entiteiten hun beveiligingseisen niet op orde hebben zal dit waarschijnlijk vaker resulteren in meer en hogere boetes. De boetes kunnen oplopen tot ten minste 10 miljoen euro of 2% van de totale wereldwijde omzet. De EU hoopt dat er door de nieuwe regels meer informatie-uitwisseling en samenwerking rondom cybercrisisbeheer op de verschillende overheidsniveaus plaats zal vinden.

Het toepassingsgebied van de NIS2-richtlijn

Met NIS2 wordt het toepassingsgebied van de bestaande NIS-richtlijn uitgebreid naar diverse sectoren die belangrijk zijn voor de economie en samenleving. Ongeveer 4000 instellingen worden verplicht om meer maatregelen te nemen om cyberbeveiligingsrisico’s te beheersen. Zo moeten ze aan strengere beveiligings- en rapportagevereisten voldoen. Ook alle middelgrote en grote ondernemingen worden verplicht tot zwaardere beveiligingsvoorschriften.

Op welke sectoren is de NIS2-wetgeving van toepassing?

De NIS2-richtlijn is van toepassing op Categorie 1 en 2. De NIS2 verdeeld de verschillende sectoren in twee categorieën, waarbij elke categorie een diverse groep van organisaties omvat.

Categorie 1

Categorie 1 bestrijkt kritische domeinen zoals energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart. Organisaties binnen deze categorie vallen onder de NIS2-richtlijn als ze minimaal 50 werknemers in dienst hebben en/of een jaarlijkse omzet en/of jaarlijks balanstotaal van 10 miljoen bereiken.

Categorie 2

Categorie 2 omvat sectoren als post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, digitale aanbieders en onderzoek. Ook hier is de NIS2-richtlijn van toepassing op organisaties die voldoen aan de criteria van minimaal 50 werknemers en/of een jaarlijkse omzet en/of jaarlijks balanstotaal van 10 miljoen.

Het onderscheid tussen “belangrijke entiteiten” en “essentiële entiteiten” is van belang. Organisaties in categorie 1 met minimaal 250 werknemers en/of een jaaromzet van 50 miljoen en/of een jaarlijks balanstotaal van 43 miljoen worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten worden onderworpen aan strikter toezicht en handhaving in vergelijking met belangrijke entiteiten.

De uitbreiding van sectoren onder NIS2 is bedoeld om te garanderen dat alle organisaties die cruciale functies in de samenleving vervullen worden beschermd tegen cyberdreigingen. Deze benadering richt zich niet alleen op het voorkomen van schade aan individuele organisaties maar ook op het waarborgen van de integriteit en het functioneren van de samenleving als geheel. Dit betekent dat sectoren zoals voedselproductie, afvalbeheer en de volledige toeleveringsketen nu ook onder de richtlijn vallen.

Als u organisatie onder de NIS2 valt gaan er een aantal zaken voor u veranderen:

       Sectoren:

  • Energie
  • Vervoer
  • Bankwezen
  • Financiële marktinstellingen
  • Gezondheid
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur
  • Overheidsdiensten
  • Ruimtevaart
  • Post- en Koeriersdiensten
  • Afvalbeheer
  • Chemie
  • Voeding
  • Industrie
  • Digitale aanbieders

       Veranderingen:

  1. Strengere beveiligingsvereisten: Onder NIS2 moeten organisaties passende beveiligingsmaatregelen implementeren en risico’s evalueren om de beveiliging van hun netwerk- en informatiesystemen te waarborgen. Dit omvat ook meldingsverplichtingen in geval van incidenten.
  2. Samenwerking en coördinatie: De richtlijn moedigt samenwerking en coördinatie aan tussen lidstaten en relevante autoriteiten om de respons op cyberincidenten te verbeteren.
  3. Boetes en handhaving: NIS2 voorziet in strengere sancties en boetes voor organisaties die de beveiligingsvoorschriften niet naleven. 
  4. Audit- en rapportageverplichtingen: Organisaties kunnen worden onderworpen aan audit- en rapportageverplichtingen om de naleving van de richtlijn te waarborgen. 

Het is belangrijk om te begrijpen dat de specifieke gevolgen van de NIS2-richtlijn voor uw organisatie afhangen van verschillende factoren, waaronder uw bedrijfsactiviteiten, de aard van de digitale diensten die u aanbiedt en de aard van uw kritieke infrastructuur. Uw organisatie zal mogelijk moeten voldoen aan specifieke beveiligingsnormen en rapportageverplichtingen om te voldoen aan de richtlijn. 

NIS2 en het Europese cyberdefensiebeleid

De tweede generatie van de Europese Network and Information Systems (NIS2)-richtlijn is sinds 16 januari 2023 in werking getreden. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees cyberdefensiebeleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen.

Wat is het Europese cyberdefensiebeleid?

Het Europese cyberdefensiebeleid is gericht op het versterken van de cyberveiligheid in de Europese Unie. Dit omvat maatregelen om de beveiliging van informatiesystemen te verbeteren, incidenten te melden en te bestrijden, en samen te werken tussen lidstaten en EU-instellingen.

Een belangrijk onderdeel van het Europese cyberdefensiebeleid is de NIS-richtlijn (Network and Information Systems Directive) en de NIS2-richtlijn (Network and Information Systems Directive). Deze richtlijnen vereisen dat lidstaten passende maatregelen nemen om de beveiliging van hun netwerken en informatiesystemen te verbeteren, incidenten te melden en samen te werken bij de bestrijding van cyberbedreigingen.

Daarnaast heeft de EU ook het Europese Cybersecurity Act aangenomen in 2019, dit is gericht op de versterking van de cyberveiligheid van de EU door middel van een gezamenlijke aanpak. Hierdoor wordt er een Europese certificeringskader opgezet voor ICT-producten, processen en diensten.

De EU heeft ook de Europese Cybersecurity Agency (ENISA) opgericht, die de lidstaten ondersteunt bij het ontwikkelen van hun nationale cyberveiligheidsstrategieën en bij het uitvoeren van de NIS-richtlijn. ENISA werkt ook samen met de Europese Commissie, de lidstaten en de private sector om de cyberveiligheid te verbeteren.

Tot slot, speelt de EU ook een belangrijke rol in de internationale samenwerking op het gebied van cyberveiligheid, door deel te nemen aan internationale organisaties en fora zoals de G7, de G20 en de OESO.

Het Europese cyberdefensiebeleid is gericht op het versterken van de cyberveiligheid van de EU door middel van wetgeving, certificering, samenwerking tussen lidstaten en EU-instellingen, en internationale samenwerking.

NIS2 en de NIB2?

Allereerst het verschil tussen de NIS2 en de NIB2. De NIB2 is de Nederlandse vertaling van de NIS2. Dus of het nu gaat over de ‘network and information systems-richtlijn’ of de ‘netwerk- en informatiebeveiliging-richtlijn’, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor interpretatie. 

Wet beveiliging netwerk- en Informatiesystemen (Wbni)

De “Wet beveiliging netwerk- en informatiesystemen” (Wbni) is de Nederlandse implementatie van de eerste EU-richtlijn over de beveiliging van netwerk- en informatiesystemen, bekend als de NIS-richtlijn. Met de komst van de NIS2, die een herziene en uitgebreidere versie van de oorspronkelijke NIS-richtlijn is, zal Nederland de bestaande Wbni moeten herzien en updaten om aan de nieuwe eisen te voldoen.

De kern van NIS2/NIB2

De kern van NIB2 is de zorgplicht en de meldplicht. We kunnen ervan uitgaan dat de kern van de richtlijn grotendeels hetzelfde blijft.

Meldplicht: datalekken, ransomware-aanvallen of misbruik van kwetsbaarheden

De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.

Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001-norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen

Zorgplicht: het monitoren van de systemen

De verschillende plichten bij organisaties waarop NIS2 van toepassing is krijgen mogelijk te maken met veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een security operation center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij zoals NFIR die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten. Daarnaast biedt NIFR als cybersecurity-expert vaak aanvullende diensten om de cyberweerbaarheid te vergroten.

Het is verstandig om zo snel mogelijk aan de slag te gaan, het uitzoeken wat de nieuwe wet voor zowel organisaties die binnen NIS2-richtlijnen vallen en overige organisaties kunnen een flink aantal wijzigingen moeten doorvoeren. Een eerste stap die je als bedrijf nu dient te zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing.

Vitale sectoren

Het aantal organisaties dat te maken heeft met cyberaanvallen stijgt de afgelopen jaren, dit geldt ook voor de schade en impact van een succesvolle aanval. Waarborgen van de continuïteit en integriteit van een aantal vitale sectoren is dan ook de belangrijkste gedachte achter de NIS2-richtlijn.

Maak direct een afspraak met een specialist van NFIR die alle ins-en outs van de NIS2 richtlijnen kent in combinatie met de ervaring op het gebied van cyberveiligheid.

  • Heeft u al een informatiebeveiligingsbeleid?
  • Weten medewerkers wat hun rol is?
  • Weten ze hoe ze phishing e-mails kunnen herkennen?
  • Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Naleving NIS2-richtlijn: strategische adviezen voor CISO's

Het niet naleven van de NIS-richtlijn heeft juridische en strategische gevolgen voor organisaties. CISO’s moeten aan de slag. Wanneer bedrijven en entiteiten hun beveiligingseisen niet op orde hebben zal dit waarschijnlijk vaker resulteren in meer en hogere boetes. De boetes kunnen oplopen tot ten minste 10 miljoen euro of 2% van de totale wereldwijde omzet.

Verplichtingen onder NIS2

NIS2 legt verschillende verplichtingen op aan organisaties die als essentiële dienstverleners of digitale dienstverleners worden beschouwd. De belangrijkste verplichtingen die voortvloeien uit NIS2:

  1. Meldingsplicht bij incidenten:
    Essentiële dienstverleners en digitale dienstverleners zijn verplicht om ernstige beveiligingsincidenten te melden aan de nationale autoriteiten.
  2. Beveiligingsvereisten:
    Organisaties moeten voldoen aan specifieke beveiligingsmaatregelen zoals toegangscontroles, encryptie en monitoring van netwerken.
  3. Risicobeoordeling en risicomanagement:
    Het is vereist dat organisaties regelmatig risicobeoordelingen uitvoeren en een effectief risicomanagementproces implementeren.
  4. Samenwerking met nationale autoriteiten:
    Organisaties moeten samenwerken met de bevoegde nationale autoriteiten bij het behandelen van cyberrisico’s en het herstellen na incidenten.
  5. Toezicht door nationale autoriteit:
    De nationale autoriteiten houden toezicht op de naleving van NIS2-verplichtingen door essentiële dienstverleners en digitale dienstverleners.
  6. Vertrouwelijkheid en informatie-uitwisseling:
    Er zijn regels voor het waarborgen van vertrouwelijkheid bij het delen van informatie tussen organisaties en overheidsinstanties.
  7. Straffen bij niet-naleving:
    Organisaties riskeren boetes of andere straffen als ze niet voldoen aan de voorschriften van NIS2.

De belangrijke verplichtingen onder NIS2 Risicobeheer:

  1. Identificatie van Cybersecurityrisico’s:
    Organisaties moeten potentiële interne en externe dreigingen identificeren die hun operationele kritische systemen kunnen beïnvloeden.
  2. Evaluatie van Cybersecurityrisico’s:
    Grondige analyse moet worden uitgevoerd om de impact en waarschijnlijkheid van risico’s op kritieke systemen vast te stellen.
  3. Implementatie van Beveiligingsmaatregelen:
    Passende technische en organisatorische maatregelen moeten worden genomen om risico’s te minimaliseren en incidentreactieplannen op te stellen.
  4. Melding van Incidenten:
    Het melden van ernstige incidenten aan nationale autoriteiten dient tijdig plaats te vinden volgens de vereiste procedures.
  5. Samenwerking met Andere Actoren:
    Samenwerking met andere essentiële diensten, overheidsinstanties of CERT’s is cruciaal bij het opzetten van gecoördineerde responsmechanismes.
  6. Continue Monitoring en Bijwerking:
    Regelmatige monitoring, evaluatie en actualisering van beveiligingsmaatregelen zijn noodzakelijk om zich aan nieuwe bedreigingen aan te passsen.

Onder de NIS2-wetgeving (NIB-richtlijn 2016/1148) zijn organisaties verplicht om incidenten met betrekking tot hun netwerk- en informatiesystemen te melden. Deze meldingsverplichtingen hebben tot doel de cybersecurity in Europa te versterken en de veerkracht van essentiële diensten en digitale infrastructuur te waarborgen. De verplichtingen onder NIS2 Incidentmelding vormen een cruciaal aspect van cybersecuritybeheer voor organisaties die essentiële of digitale diensten leveren. Door tijdig en nauwkeurig te reageren op incidenten kunnen potentiële schade beperkt worden en kan het veiligheidsniveau van systemen verbeterd worden in lijn met Europese richtlijnen.

Verantwoordelijkheden bij incidentmelding:

  1. Meldingsplichtige Entiteiten
    Organisaties die als aanbieder van essentiële diensten of als aanbieder van digitale diensten worden aangemerkt, zijn onderhevig aan de meldingsverplichtingen volgens NIS2.
  2. Incidentdefinitie
    Een incident in het kader van NIS2 kan variëren van een datalek tot een cyberaanval die de beschikbaarheid, integriteit of vertrouwelijkheid van systemen aantast.
  3. Meldproces:
    Wanneer een incident plaatsvindt, moeten meldingsplichtige entiteiten dit onmiddellijk melden bij de bevoegde autoriteiten zoals vastgesteld door nationale wetgeving.
  4. Informatie in Melding:
    De melding moet relevante informatie bevatten over het voorval, mogelijke impact, genomen maatregelen en eventuele risico’s voor andere partijen.
  5. Tijdlijnen:
    Er kunnen specifieke tijdslimieten gelden voor het indienen van een melding na ontdekking van een incident.

De verplichtingen onder NIS2 informatie-uitwisseling vormt een belangrijk aspect binnen het bredere kader van cybersecurity-regelgeving in Europa, gericht op het vergroten van veerkracht tegen cyberaanvallen en het waarborgend dat kritieke infrastructuren digitaal beschermd zijn.

Verplichtingen onder NIS2 informatie-uitwisseling omvatten onder andere:
  1. Identificatie van essentiële dienstverleners: Onder NIS2 worden specifieke entiteiten aangemerkt als essentiële dienstverleners, zoals aanbieders van energie, transport, bankwezen, gezondheidszorg en digitale infrastructuur. Deze entiteiten moeten worden geïdentificeerd volgens criteria die door de lidstaten zijn vastgesteld.

  2. Passende technische en organisatorische maatregelen: Essentiële dienstverleners moeten passende technische en organisatorische maatregelen implementeren om risico’s voor hun netwerk- en informatiesystemen te beheren. Dit kan onder meer inhouden dat zij risicoanalyses uitvoeren, beveiligingsbeleid ontwikkelen en regelmatig evaluaties uitvoeren.

  3. Incidentmelding: In geval van een ernstig cyberincident moeten essentiële dienstverleners deze incident onmiddellijk melden bij de bevoegde nationale autoriteiten of Computer Security Incident Response Teams (CSIRT’s). Deze meldingen zijn cruciaal voor het coördineren van reacties op cyberdreigingen.

  4. Samenwerking met andere actoren: Essentiële dienstverleners worden aangemoedigd om samen te werken met relevante overheidsinstanties, certificeringsinstanties, toezichthoudende autoriteiten en andere actoren in het cyberveiligheidsdomein om beste praktijken uit te wisselen en gezamenlijke incidentresponsplannen op te stellen.

  5. Periodieke evaluatie en rapportage: Essentiële dienstverleners zijn verplicht periodiek hun naleving van de cybersecurityvereisten te evaluerenen hierover verslag uitbrengen aan de nationale autoriteit belast met handhaving.

Strategische dilemma’s

Vanuit het perspectief van een CISO liggen er in de communicatie met bestuurders verschillende complexe strategische dilemma’s op tafel. Enkele voorbeelden zijn:

  • Kosten van naleving: De NIS-richtlijn vereist dat organisaties bepaalde technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen. De invoering en handhaving van deze maatregelen kan kostbaar zijn en de CISO zal de kosten en baten van de naleving goed moeten motiveren.
  • Gevolgen voor de bedrijfsvoering: De CISO moet wellicht met bestuurders samenwerken om de mogelijke gevolgen voor de bedrijfsvoering vast te stellen en een plan te ontwikkelen om eventuele verstoringen aan te pakken.
  • Risicobeoordeling: De CISO moet bestuurders helpen de risico’s van de verschillende soorten bedreigingen te begrijpen en de meest doeltreffende maatregelen vast te stellen om die risico’s te beperken.
  • Communicatie met belanghebbenden: De CISO zal samen met bestuurders een plan op moet stellen voor de communicatie met belanghebbenden over incidenten die hen kunnen treffen.

Potentiële gevolgen voor de CISO of betrokken directielid

Niet-naleving van de NIS-richtlijn kan leiden tot boetes en andere sancties. De exacte gevolgen voor een CISO of directielid dat de richtlijn bewust niet naleeft, hangen af van specifieke bepalingen en de nationale wetgeving van de lidstaat waar het bedrijf is gevestigd.

In het algemeen schrijft de NIS-richtlijn voor dat de lidstaten voor niet-naleving sancties vaststellen die “doeltreffend, evenredig en afschrikkend” zijn. Deze sancties kunnen boetes, bevelen tot het nemen van corrigerende maatregelen of andere maatregelen omvatten. De NIS-richtlijn voorziet ook in de mogelijkheid van “hoofdelijke aansprakelijkheid” voor organisaties die zich schuldig maken aan “grove nalatigheid of opzet” met betrekking tot de beveiliging van hun netwerk- en informatiesystemen.

Naast de mogelijke juridische gevolgen kan niet-naleving van de NIS-richtlijn ook negatieve gevolgen hebben voor de reputatie en de geloofwaardigheid van een organisatie, omdat daaruit blijkt dat deze cyberbeveiliging niet serieus neemt en zich niet inzet voor de bescherming van de beveiliging en de privacy van de informatie van zijn klanten. Niet-naleving van de NIS-richtlijn kan een organisatie ook blootstellen aan juridische stappen van klanten, regelgevers of andere belanghebbenden.

Adviezen voor CISO’s

  • 1. Maak uzelf vertrouwd met de vereisten van de NIS2-richtlijn

    De NIS2-richtlijn is van toepassing op “exploitanten van essentiële diensten” en “digitale dienstverleners” en bedrijven die online marktplaatsen, online zoekmachines en cloud computing-diensten aanbieden. Het is belangrijk dat u de specifieke vereisten van de NIS2-richtlijn begrijpt en weet hoe deze op uw organisatie van toepassing zijn.

  • 2. Beoordeel uw huidige beveiliging

    Het is belangrijk om inzicht te krijgen in de huidige staat van uw netwerk- en informatiesystemen (NIS) beveiliging en om eventuele gebieden te identificeren die verbetering behoeven. Dit kan u helpen uw inspanningen te prioriteren en u eerst te richten op de belangrijkste gebieden.

  • 3. Ontwikkel een plan voor naleving

    Zodra u uw huidige beveiligingspositie hebt beoordeeld, kunt u een plan ontwikkelen om uw bedrijf in overeenstemming te brengen met de NIS-richtlijn. Dit kan betekenen dat u nieuwe beveiligingsmaatregelen moet nemen, bestaande maatregelen moet bijwerken of nieuw beleid en nieuwe procedures moet vaststellen.

  • 4. Overleg met relevante belanghebbenden

    Voor de naleving van de NIS2-richtlijn kan de betrokkenheid van verschillende belanghebbenden nodig zijn, waaronder werknemers, klanten en regelgevende instanties. Het is belangrijk met deze belanghebbenden samen te werken en ervoor te zorgen dat zij op de hoogte zijn van de vereisten van de NIS-richtlijn en de mogelijke gevolgen daarvan voor hen.

  • 5. Controleer en evalueer uw nalevingsinspanningen

    Naleving van de NIS2-richtlijn is een continu proces. Het is belangrijk dat u uw inspanningen om aan de voorschriften van de NIS2-richtlijn te voldoen, regelmatig controleert en evalueert om na te gaan op welke gebieden extra inspanningen nodig zijn.

Maak direct een afspraak met een specialist van NFIR die alle ins-en outs van de NIS2 richtlijnen kent in combinatie met de ervaring op het gebied van cyberveiligheid.

  • Heeft u al een informatiebeveiligingsbeleid?
  • Weten medewerkers wat hun rol is?
  • Weten ze hoe ze phishing e-mails kunnen herkennen?
  • Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

Hoe kan NFIR u helpen bij NIS2?

Pentesting

De NIS2-richtlijn vereist dat organisaties risico-evaluaties uit te voeren om kwetsbaarheden te identificeren. Het in kaart brengen van deze risico’s kan door middel het uitvoeren van een pentest or penetratietest. Penetratietests zijn bedoeld om de beveiliging van netwerk- en informatiesystemen te beoordelen. Dit gebeurt door gecontroleerde aanvallen en kwetsbaarheidsscans uit te voeren. De tests helpen bij het identificeren van zwakke punten in de beveiliging die kunnen worden misbruikt door kwaadwillende actoren. NFIR biedt u pentesten aan die u hierbij kunnen helpen. 

Security Monitoring

De NIS2-richtlijn vereist dat organisaties passende maatregelen nemen voor netwerk- en informatiesysteembeveiliging, en netwerkmonitoring kan een essentieel onderdeel zijn van deze maatregelen. Het doel van netwerkmonitoring is om potentiële bedreigingen en inbreuken op de beveiliging van netwerk- en informatiesystemen te detecteren en te reageren op verdachte activiteiten in real-time. Op een aantal punten kan de NFIR security monitoring u ondersteunen  om te voldoen aan de NIS2: 

  1. Detectie van incidenten: Organisaties moeten namelijk in staat zijn om verdachte activiteiten, inbraakpogingen, malware, en andere potentiële beveiligingsincidenten in hun netwerken en systemen te detecteren. 
  2. Real-time monitoring: Het is belangrijk om netwerken en systemen continu te monitoren om onmiddellijk te reageren op bedreigingen. Dit kan onder andere betekenen dat u in real-time waarschuwingen ontvangt en automatische reacties kunt initiëren. 
  3. Logboekregistratie: Het is belangrijk om logboeken bij te houden van netwerkactiviteit en beveiligingsgebeurtenissen, omdat deze kunnen helpen bij het onderzoeken van incidenten en het aantonen van naleving van beveiligingsvoorschriften. 

Netwerkmonitoring is een belangrijk element van de algemene beveiligingsmaatregelen die nodig zijn om te voldoen aan de NIS2-richtlijn. NFIR kan uw organisatie helpen bij het identificeren en mitigeren van risico’s, het minimaliseren van schade bij beveiligingsincidenten en het voldoen aan de rapportageverplichtingen die in de richtlijn zijn vastgelegd. 

Consultancy en Incident Response

Naast extra informatie over de NIS2 kan NFIR u ondersteunen met het opstellen van een incidentresponsplan. Binnen de NIS2 is het vereist om snel en effectief te reageren op beveiligingsincidenten wanneer deze zich voordoen. Dit omvat het isoleren van aangetaste systemen, het analyseren van het incident en het nemen van corrigerende maatregelen. Ook kan NFIR u helpen bij een incident door middel van Incident Response of Digitaal Forensisch onderzoek. 

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Heeft uw bedrijf professionele hulp nodig bij een beveiligingsincident?