Het logo van NIS2. 12 gele sterren rondom het woord NIS2.

NIS2 is coming!

NIS2 komt eraan! NIS2 is de nieuwe Europese cybersecuritywet, die naar verwachting eind 2024 in werking treedt. Maar wat houdt NIS2 precies in en waar ligt de focus op? Waar komt deze regelgeving vandaan en voor welke organisaties gaat deze wet gelden? Dit artikel geeft antwoorden op deze en andere vragen en laat zien voor welke organisaties het tijd is om actie te ondernemen.

Wat is NIS2?

De Directive on Security of Network and Information Systems (NIS Directive) is in 2016 door de EU ingevoerd. Deze richtlijn is in het Nederlands vertaald naar de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). De huidige NIS Directive verplicht grote ondernemingen in vitale infrastructuursectoren om specifieke maatregelen te nemen tegen cybercriminaliteit en tevens eventuele incidenten te melden. Door de voortdurende digitalisering en het toenemende aantal cyberaanvallen, heeft de EU besloten de NIS-richtlijn te herzien en te verbeteren. Om invulling te geven aan de noodzaak de cyberweerbaarheid te verhogen, is NIS2 opgesteld. De inwerkingtreding van de in nationale wetgeving omgezette richtlijnen is vastgesteld op 17 oktober 2024.

Van Europese richtlijnen naar nationale wetgeving.

Bron: https://www.nctv.nl/onderwerpen/cer–en-nis2-richtlijnen/wat-zijn-de-cer-en-nis2-richtlijnen

Verschil NIS en NIS2

Waar NIS zich alleen richtte op ondernemingen in de vitale infrastructuur, zoals gezondheidszorg, transport en financiële instellingen (zie Vitale infrastructuur Nederland), gaat NIS2 een stapje verder.

Een belangrijk verschil tussen NIS en NIS2 is namelijk dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. Deze criteria zijn hier terug te zien. Dit betekent dat de volgende sectoren aan de nieuwe richtlijnen van NIS2 moeten voldoen:

1.     Essentiële sectoren 2.     Belangrijke sectoren
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging/ manufacturing

Door de beveiligingseisen in heel Europa aan te scherpen en meer sectoren aan deze wet te onderwerpen, moet NIS2 organisaties beter beschermen tegen cybercriminaliteit.

Essentieel of belangrijk

Er is nog een belangrijke richtlijn die samenvalt met NIS2, namelijk CER (Critical Entities Resilience). Organisaties, die in het verleden al eerder door de overheid zijn aangemerkt als ‘vitale aanbieder’, worden onder de CER-richtlijn in elk geval aangewezen als kritieke entiteit wanneer ze binnen één van de bovengenoemde sectoren actief zijn. Het verschil tussen essentiële en belangrijke entiteiten wordt verduidelijkt door de volgende criteria.

Essentiële entiteiten zijn:

  • Organisaties die volgens de CER-richtlijn als kritieke entiteit worden beschouwd;
  • Grote organisaties die actief zijn in een sector uit kolom 1. (Een organisatie wordt beschouwd als groot, wanneer het minimaal 250 werknemers heeft of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.)

Belangrijke entiteiten zijn:

  • Middelgrote organisaties die actief zijn in een sector uit kolom 1 en middelgrote en grote organisaties die actief zijn in een sector uit kolom 2. (Een organisatie is middelgroot wanneer het minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.)
Kleine bedrijven vallen meestal niet onder de NIS2-richtlijn, behalve als ze een belangrijke rol spelen in de internetinfrastructuur of bij overheidsinstanties. Ook bedrijven die zelf niet essentieel zijn, maar onderdeel zijn van de toeleveranciersketen, vallen onder NIS2. Denk dan bijvoorbeeld aan digitale diensten die de vertrouwelijkheid, integriteit en authenticiteit van elektronische transacties, communicatie en documenten waarborgen.

Zelf controleren of je organisatie onder de NIS2-verplichting valt? Ga naar NIS2 zelfevaluatie.

Belangrijkste eisen NIS2

NIS2 legt de focus onder meer op het aanscherpen van de beveiliging, strenger toezicht en verbetering van rapportages. De belangrijkste eisen van NIS2 komen neer op zorgplicht, meldplicht en toezicht door:

  • Proactief risicobeheer door de potentiële risico’s van cyberaanvallen van de meest kritieke systemen en diensten te identificeren en te beoordelen;
  • Informatiebeveiligingsbeleid waarin passende en effectieve maatregelen staan om de meest kritieke systemen, diensten en informatie te beschermen tegen cyberdreigingen. Denk aan incidentbeheer, cyberbeveiliging in toeleveringsketens, netwerkbeveiliging, toegangscontrole en encryptie;
  • Samenwerking met bevoegde autoriteiten en exploitanten van essentiële diensten in geval van beveiligingsincidenten;
  • Incidentmelding aan een (per sector verschillend) Computer Security Incident Response Team (CSIRT). Bij een (mogelijke) verstoring van essentiële diensten waarschuwen binnen 24 uur en een incident melden binnen 72 uur;
  • Inspectie van essentiële organisaties, die op verzoek iedere vorm van benodigde informatie aan de auditinstantie overhandigen. (Belangrijke organisaties worden alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen. In tegenstelling tot essentiële organisaties zijn zij niet verplicht toegang te verlenen tot informatie voor controledoeleinden.)

Sancties

NIS2 is niet vrijblijvend. Mocht bij inspectie of incidenten blijken dat de richtlijnen onvoldoende zijn geïmplementeerd of dat er sprake van nalatigheid is geweest, dan kunnen er boetes worden opgelegd. Voor essentiële organisaties is dat een minimum van 10 miljoen euro of 2% van de totale omzet, afhankelijk van wat het hoogste is. Voor belangrijke entiteiten is dat een minimum van 7 miljoen euro of 1,4% van de omzet. Verder geldt er persoonlijke en potentiële strafrechtelijke aansprakelijkheid voor personen op directieniveau wanneer zij hun verplichtingen op grond van de NIS2-richtlijn niet nakomen. Essentiële entiteiten kunnen doorlopend toezicht verwachten, zoals audits, rapportageverplichtingen en peerreviews. Belangrijke entiteiten krijgen daar alleen mee te maken als de regels niet worden nageleefd.

Advies

Organisaties die al onder de vitale infrastructuur vielen, en nu dus volgens NIS2 als essentieel worden beschouwd, zullen inmiddels invulling hebben gegeven aan hun verplichtingen. Ook de grotere organisaties hebben ongetwijfeld al een en ander geregeld op het vlak van informatiebeveiliging. Voor Nederlandse overheidsinstanties zal dit conform BIO zijn, voor andere bedrijven conform ISO27001. Organisaties die op dit gebied nog een weg te gaan hebben, doen er goed aan onderstaande acties te overwegen.

Mogelijke acties:

  • Implementeren van een informatiebeheersysteem (ISMS), bijvoorbeeld conform ISO 27001;
  • Identificeren van relevante beleidsregels die gedocumenteerd moeten worden;
  • Implementeren van technologieën die de organisatie beschermen tegen beveiligingsrisico’s;
  • Trainen van personeel om fouten te voorkomen;
  • Voldoen aan NIS2-vereisten en behalen van geauditeerde certificering (bv. ISO27001);
  • Bewijzen aan leveranciers, belanghebbenden en regelgevende instanties dat er maatregelen zijn genomen om verantwoord met gevoelige gegevens om te gaan;
  • Inrichten van risicomanagement met jaarlijkse risicobeoordelingen;
  • Bepalen wie toegang heeft tot diensten en data;
  • Gebruiken van authenticatie en versleuteling;
  • Uitvoeren van risicoanalyses op fysieke en digitale dreigingen;
  • Implementeren van procedures om incidenten te detecteren, op te lossen en te melden.

Wil je weten of jouw organisatie is voorbereid op de nieuwe NIS2 wetgeving? Of heb je een andere vraag op het gebied van security? Neem geheel vrijblijvend contact met ons op en wij kijken hoe we je verder kunnen helpen.