NIS2 uitgelegd: kom nu in actie

Geschreven door Josephine Bosman
4 min leestijd
8-jul-2024 14:28:25

NIS2, je hebt er vast al wel over gehoord of gelezen. Maar weet je ook wat je moet doen om je organisatie voor te bereiden op deze nieuwe cybersecurity-wetgeving?

Op dit moment wordt de NIS2-richtlijn omgezet in de nationale Cyberbeveiligingswet. Dit gebeurt later dan origineel gepland. Toch is het niet verstandig om de invoer van de wetgeving af te wachten, vertelt Business Information Security Officer (BISO) Alex Maljaars. “Ga niet bij de pakken neerzitten. Er is al genoeg over de NIS2 bekend om nu mee aan de slag te gaan.”

In deze blog vertellen we je wat de NIS2 is en waarom je er nu wat mee moet.

Wat is de NIS2 en is het ook op mijn organisatie van toepassing?

De NIS2 is een Europese (cybersecurity-)richtlijn voor belangrijke en essentiële organisaties om digitale risico’s voor netwerk- en informatiesystemen te verkleinen. De NIS2 is de opvolger van de NIS-richtlijn, die opgenomen is in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2-richtlijn raakt meer organisaties en stelt hogere eisen dan de NIS. In Nederland is het de Cyberbeveiligingswet die de NIS2-richtlijn implementeert. De voorspelling is nu dat de Cyberbeveiligingswet in het tweede of derde kwartaal van 2025 van kracht gaat.

Is de NIS2 ook op jouw organisatie van toepassing? De NIS2 is relevant voor organisaties die zijn aangemerkt als ‘essentieel’ of ‘belangrijk’ en van een bepaalde grootte zijn (minstens 50 medewerkers of 10 miljoen omzet). Of een organisatie essentieel of belangrijk is hangt vooral samen met de sector waarin het valt. Weet je niet zeker of de NIS2 op jullie van toepassing is? De rijksoverheid heeft een handige zelfevaluatie-tool gemaakt.

Waarom NIS2?

Het doel van de NIS2 is om als Europa weerbaarder te worden tegen cybersecurity-aanvallen. Allerlei recente maatschappelijke ontwikkelingen hebben gezorgd voor een toename van het aantal cyberdreigingen. Verbeterde cybersecurity is dus hard nodig.

“Een volwassen cybersecurity is zo belangrijk, zeker als je in een essentiële sector zit,” legt Alex uit. “Zie de NIS2 richtlijn als een kans om die volgende stap te zetten. Met de basis cyberhygiëne moet het gewoon goed zitten. Heb je al een volwassenen cybersecurity? Ook dan zijn er altijd dingen waar je meer aandacht aan kunt besteden. Daarnaast zorgt de NIS2 ervoor dat je meer inzicht hebt in de cybersecurity van je leveranciers. Dit geeft je controle en maakt je organisatie veiliger.”

Werken aan je cyberhygiëne? In deze blog van cybersecurity-expert Eward Driehuis lees je hoe je de basis op orde krijgt.

Wat moet je doen om aan de NIS2 te voldoen?

De Europese richtlijn wordt nu omgezet in Nederlandse wetgeving, dus nog niet alle details van de nieuwe wet zijn bekend. Wel weten we dat de NIS2 gaat over:

  • Zorgplicht: als organisatie voer je een risicobeoordeling uit en neem je daarna passende maatregelen om netwerk- en informatiesystemen te beschermen tegen incidenten.
  • Meldplicht: je moet significante cybersecurity-incidenten binnen 24 uur bij de toezichthouder melden.
  • Toezicht: de toezichthouder controleert of organisaties zich aan de zorgplicht en meldplicht houden. In het geval van essentiële organisaties gebeurt dit ook proactief.
  • Governance: het bestuur van de organisatie is hoofdelijk aansprakelijk bij beveiligingsinbreuken.

Zorgplicht

Onder de zorgplicht vallen tien maatregelen, waaronder risicoanalyse, maar ook cyberbeveiligingstrainingen en de beveiliging van de toeleveranciersketen. We weten nog niet hoe de uitwerking van deze maatregelen zal zijn in de wetgeving, maar we weten al wel om welke maatregelen het gaat. Je kunt dus al aandacht besteden aan al deze punten in je organisatie.

Maatregelen zorgplicht

1.     Een risicoanalyse en beveiliging van informatiesystemen.

2.     (Beleid en procedures over) incidentenbehandeling.

3.     Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen.

4.     Beveiliging van de toeleveranciersketen.

5.     Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.

6.     Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

7.     Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging.

8.     Beleid en procedures over het gebruik van cryptografie en encryptie.

9.     Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa.

10.  Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Governance

Een deel van de NIS2 is gericht op governance. Het bestuur of de directie van een organisatie is aansprakelijk bij incidenten. Daarom moeten ze aantoonbaar up-to-date kennis hebben van cybersecurity. Het bestuur is met de komst van de NIS2 verplicht om periodiek (elke twee jaar) cybersecurity-trainingen te volgen.

Wat is het verschil met de NIS-richtlijn?

De NIS2 gaat verder dan haar voorganger. Zo vallen meer organisaties onder de NIS2 dan onder de NIS. Alex legt uit wat verder belangrijkste veranderingen zijn: “Nieuw in de NIS2 is dat je moet aantonen dat ook je leveranciers hun cybersecurity op orde hebben. Dit betekent dat je de nodige sessies met ze moet hebben en alles goed documenteert. Daarnaast wordt het toezicht strenger; in het geval van essentiële organisaties kan de toezichthouder proactief, dus zonder voorafgaande melding van een incident, een audit afnemen. Ook gaan de sancties significant omhoog.” Genoeg reden dus om de NIS2 aan te grijpen om je cybersecurity naar het volgende niveau te tillen.

Tips om je nu al voor te bereiden op NIS2

Het is slim om niet af te wachten tot we meer weten over de Cybersecuritywet, maar nu al aan de slag te gaan. Hoe?

  • ga de bovenstaande 10 maatregelen langs en bepaal waar je nog aan moet werken;
  • zoek online naar tips en handvatten voor deze onderdelen;
  • werk aan de stappen die je nog moet zetten om overal aan te voldoen (zoals sessies met leveranciers);
  • zorg dat je alles aantoonbaar op orde hebt, dus documenteer, documenteer, documenteer.

Alex vertelt wat de impact van de NIS2 is als je al cybervolwassen bent: “Ben je zoals OGD ISO:27001 gecertificeerd? Dan ben je al een heel eind op weg. Veel van de maatregelen heb je dan al geïmplementeerd en je weet hoe een externe audit in z’n werk gaat. De belangrijkste taken zijn dan de sessies met leveranciers en het identificeren van maatregelen waar je nog aan moet werken. Voor die laatste stap vind je veel informatie online, in de vorm van webinars en websites zoals die van het digital trust center.”

Ben je nog niet zo cybervolwassen? Dan is het zéker verstandig om te zorgen dat je de basis zo snel mogelijk op orde hebt. Niet alleen om straks aan de Cybersecuritywet te voldoen, maar vooral om je organisatie goed te beveiligen. Ga dan aan de slag met risicoanalyse. “Ook hiervoor vind je online veel handvatten”, vertelt Alex, “en als je er echt niet uitkomt, kun je een externe partij inschakelen om je hierbij te helpen.”  

Wil je meer weten over het op orde brengen van je cyberbeveiliging? Lees de whitepaper ‘cybersecurity als onderdeel van de basis’.

Cybersecurity CTA BLOG

 

Ontvang email updates