De NIS2-richtlijn
In de huidige digitale wereld is cyber security niet langer een luxe, maar een noodzaak. Eén van de grootste uitdagingen van onze tijd is het waarborgen van de cyberbeveiliging, en daarom heeft de EU de NIS2-richtlijn geïntroduceerd. Is jouw organisatie al voorbereid?
In de huidige digitale wereld is cyber security niet langer een luxe, maar een noodzaak. Eén van de grootste uitdagingen van onze tijd is het waarborgen van de cyberbeveiliging, en daarom heeft de EU de NIS2-richtlijn geïntroduceerd. Is jouw organisatie al voorbereid?
De NIS2-richtlijn: een nieuw tijdperk van cyberbeveiliging in Europa?
In de huidige digitale wereld is cyber security niet langer een luxe, maar een noodzaak. Het landschap zit vol met beloften, maar ook met uitdagingen. Een van de grootste uitdagingen van onze tijd is het waarborgen van de cyberbeveiliging. In het licht van deze uitdaging heeft de Europese Unie (EU) de NIS2-richtlijn geïntroduceerd.
De NIS2-richtlijn, oftewel de Network and Information Security directive, is de opvolger van een eerdere NIS-richtlijn. Deze richtlijn kan gezien worden als een gids in de cyber security met als specifieke doel een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken.
Hoewel de eerdere NIS-richtlijn de cyber security capaciteiten binnen de lidstaten wel degelijk heeft verhoogd, bleek de implementatie ervan onduidelijk en daardoor ook te complex voor de meeste organisaties. De NIS-richtlijn had een opfrisbeurt nodig. De Europese Commissie heeft daarom een voorstel ingediend om de NIS-richtlijn te vervangen en daarmee de beveiligingseisen te versterken. Dit leidde tot de geboorte van de NIS2-richtlijn.
Deze nieuwe richtlijn is bedoeld voor organisaties die als middelgroot of groot worden aangemerkt, met meer dan 50 werknemers en/of een omzet van meer dan 10 miljoen euro per jaar, of die kritieke infrastructuur beheren. Hierin wordt nog wel onderscheid gemaakt tussen belangrijke en essentiële entiteiten. In het kort stelt de NIS2 de volgende punten verplicht:
Risico eigenaarschap
Binnen het kader van NIS2 is het van belang dat het bestuur een proactieve rol vervult in het waarborgen van de naleving van risicobeheersing. Het bestuur dient goedkeuring te verlenen voor en toezicht te houden op de implementatie ervan. De richtlijn benadrukt dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor schendingen van hun verplichtingen.
Eisen voor cyber beveiliging
In Artikel 21 van de NIS2-richtlijn worden specifieke maatregelen vermeld die organisaties moeten nemen om systemen te beschermen tegen cyber risico’s. Enkele van deze maatregelen omvatten incidentbehandeling, bedrijfscontinuïteit, crisismanagement en beleid voor het gebruik van encryptie.
Beveiliging van de toeleveringsketen
Het wordt noodzakelijk om aandacht te besteden aan de beveiliging van de toeleveringsketen. Dit bestaat uit het beoordelen van beveiligingsaspecten in de relaties met leveranciers en dienstverleners, waaronder het identificeren van kwetsbaarheden gerelateerd aan deze partijen.
Meldingen van incidenten
In geval van een significant incident dienen organisaties binnen 24 uur een vroegtijdige waarschuwing te geven aan het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit en het incident binnen 72 uur te melden. Bovendien is het vereist dat de organisatie haar klanten informeert over incidenten die de levering van diensten nadelig kunnen beïnvloeden.
En nu?
Veel van de genoemde maatregelen in de NIS2-richtlijn zullen bekend zijn bij organisaties met ervaring in verschillende frameworks en standaarden, zoals de ISO 27001 of de aankomende DORA act. Maar waarom is er dan toch zoveel ophef over de NIS2? Dit komt omdat lidstaten van de Europese Unie tot september 2024 de tijd hebben om de richtlijn te implementeren en het risico eigenaarschap meer benadrukt wordt.
Onder leiding van de NCTV moet de Nederlandse overheid de NIS2-richtlijn tijdig omzetten naar nationale wetgeving. Dat maakt het ook nog eens erg lastig, zo niet onmogelijk, om op dit moment een organisatie compliant te maken. De zogenoemde implementatiewet bestaat nog niet, dus het is niet te zeggen waarop een organisatie zich kan baseren om compliant te zijn. Het is tevens niet zeker of de oorspronkelijke tekst van NIS2 de basis zal zijn waarop compliance beoordeeld gaat worden.
Ondanks dit alles moet een organisatie zich voorbereiden. En dan komt het einde van 2024 inderdaad snel dichterbij, terwijl nog niet veel organisaties gereed zijn. Dat betekent dat er voor deze organisaties werk aan de winkel is.
Het voornaamste uitgangspunt is dat de basis op het gebied van cybersecurity en risicomanagement op orde moet zijn. Dus laat de NIS2 dienen als “impuls” om hier daadwerkelijk mee aan de slag te gaan.