Zoals de titel al eigenlijk zegt: is jouw organisatie al klaar voor NIS2? Voor veel sectoren zal deze wetgeving, die al actief is vanaf 18 oktober 2024, toch echt gaan gelden. In deze blog zal ik jullie even meenemen in de wereld van NIS2 en hoe wij je kunnen voorbereiden op deze nieuwe Europese NIS-richtlijn.
Wat is NIS2 ook alweer?
Klein stukje geschiedenis, hoe zat het ook alweer? De NIS2-richtlijn is de nieuwe versie van de Europese NIS-richtlijn (Network and Information Security Directive), die in 2016 werd ingevoerd om een hoger niveau van cyberbeveiliging in de Europese Unie te waarborgen. Het doel van NIS2 is om de weerbaarheid van kritieke infrastructuren tegen cyberdreigingen te versterken en te zorgen voor een betere samenwerking tussen lidstaten op het gebied van cyberveiligheid.
Maar wat verandert er dan met de NIS2?
De NIS2-richtlijn brengt verschillende belangrijke veranderingen met zich mee. Hieronder een overzicht van de belangrijkste wijzigingen:
- Uitgebreidere dekking van sectoren: Naast de sectoren die al onder de oorspronkelijke NIS vielen, worden nu ook meer sectoren opgenomen die als essentieel worden beschouwd voor de maatschappij. Dit omvat nu ook cloudserviceproviders, datacenters en socialmediaplatforms. Voor het hele overzicht zou ik even kijken op de Blog van mijn collega.
- Sterkere handhaving: De handhavingsmechanismen worden aangescherpt. Lidstaten moeten nationale autoriteiten inrichten die toezien op de naleving van de richtlijn. Boetes voor niet-naleving kunnen aanzienlijk zijn, vergelijkbaar met die van de AVG.
- Verplichte risicobeheermaatregelen: Organisaties die onder de richtlijn vallen, worden verplicht om robuustere maatregelen voor risicobeheer te implementeren. Denk aan incidentenbeheer, rampenherstelplannen en het beveiligen van toeleveringsketens.
- Melden van incidenten: Organisaties worden verplicht om binnen 24 uur incidenten te melden die een significant effect hebben op de dienstverlening. Dit is een striktere eis in vergelijking met de eerdere NIS-richtlijn.
- Samenwerking op Europees niveau: Er wordt een nieuw mechanisme opgezet voor een betere samenwerking en informatie-uitwisseling tussen de EU-lidstaten. Zo kunnen ze sneller reageren op grensoverschrijdende cyberdreigingen.
Belangrijkste verplichtingen onder de Cbw (Cyberbeveilingswet)
Wat we ook zeker niet moeten vergeten is dat er bij de wetgeving ook een aantal zeer belangrijke verplichtingen aan vastzitten, zoals:
- Zorgplicht: Entiteiten zijn verplicht zelf een risicobeoordeling uit te voeren. Op basis daarvan moeten zij passende en evenredige technische, operationele en organisatorische maatregelen nemen voor de beveiliging van hun netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten. Ook moeten zij deze maatregelen nemen om incidenten te voorkomen en de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
- Bestuur: De leden van het bestuur van entiteiten moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij een opleiding te volgen.
- Registratieplicht: Entiteiten zijn verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin entiteiten zichzelf registreren en aanmelden als NIS2-entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld op van het aantal entiteiten onder de NIS2.
- Meldplicht: Entiteiten moeten significante incidenten onverwijld, en indien niet mogelijk, binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Het gaat om incidenten die de verlening van de diensten van de entiteit aanzienlijk (kunnen) verstoren. Voor het doen van meldingen wordt een centraal meldpunt ingericht door het NCSC. Het Meldportaal dat voor het doel van significante meldingen wordt ingericht, is tevens geschikt voor het doen van vrijwillige meldingen van niet-significante incidenten of van bijna-incidenten.
Laatste nieuws en feiten
In 2023 is de NIS2 goedgekeurd en moeten organisaties die onder de richtlijn vallen dit geregeld hebben voor oktober 2024. Een aantal recente ontwikkelingen hierin zijn:
- Strengere boetes: Net als bij de GDPR (AVG), zullen de boetes voor niet-naleving van de NIS2 aanzienlijk zijn. Boetes kunnen oplopen tot 2% van de wereldwijde omzet van een organisatie, of maximaal 10 miljoen euro.
- Meer focus op de toeleveringsketen: Er wordt veel nadruk gelegd op de beveiliging van de hele toeleveringsketen. Dit betekent dat grote organisaties verantwoordelijk kunnen worden gehouden voor cyberbeveiligingsproblemen bij hun leveranciers. Dit is een grote stap vooruit, gezien de vele cyberaanvallen die gebruik maken van zwakke schakels in de keten.
- Toenemende samenwerking tussen lidstaten: Verschillende lidstaten, zoals Duitsland en Frankrijk, zijn bezig met de oprichting van speciale cyberbeveiligingscentra om een gecoördineerde respons op bedreigingen te waarborgen. Dit gaat hand in hand met de oprichting van het European Cybersecurity Industrial, Technology and Research Competence Centre in Roemenië, dat een sleutelrol gaat spelen in onderzoek en innovatie binnen de EU op het gebied van cyberbeveiliging.
- Inzet van AI en automatisering: Met de groeiende complexiteit van cyberdreigingen, gebruiken steeds meer bedrijven AI en machine learning om te voldoen aan de eisen van NIS2. Deze technologieën helpen bij het detecteren van aanvallen en het automatiseren van meldingsprocedures.
Hoe kun je als organisatie je hierop voorbereiden?
Als organisatie komt er ineens veel kijken bij wat er geregeld moet worden. Een aantal van deze stappen zijn verplicht om te hebben.
- Risicoanalyse uitvoeren: Organisaties moeten een gedetailleerde beoordeling maken van hun huidige cyberbeveiligingspraktijken en de mogelijke risico's in kaart brengen. Dit omvat niet alleen interne systemen, maar ook die van derde partijen en leveranciers.
- IT- Governance beleid: Met andere woorden een cybersecuritybeleid, dit is namelijk je basis voor de beveiliging van digitale systemen, gegevens en netwerk van je organisatie. Het beschrijft de strategie, richtlijn en procedures die een organisatie gebruikt om risico’s te beheersen.
- Training en bewustwording: Een hele belangrijke is dat alle medewerkers op de hoogte zijn (Awareness) van eventuele dreigingen, denk bijvoorbeeld aan phishing-mail.
- Incident response plan: Een gedetailleerd document dat een organisatie helpt om adequaat te reageren op cyberincidenten zoals datalekken, malware-infecties of andere beveiligingsinbreuken. Het doel van een IRP is om schade te beperken, het incident snel te beheersen en zo snel mogelijk herstel mogelijk te maken.
- Nalevingscontrole en audits: Organisaties moeten regelmatig audits en beoordelingen ondergaan om te waarborgen dat ze voldoen aan de NIS2-vereisten. Nationale toezichthouders zijn verantwoordelijk voor het uitvoeren van deze audits en het evalueren van de effectiviteit van de genomen beveiligingsmaatregelen.
Wat kunnen wij voor jou betekenen?
Weet je zeker dat jouw organisatie voldoet aan alle eisen? Heb je een cybersecuritybeleid? Zijn de incidentresponsplannen up-to-date? Kun je cyberincidenten snel detecteren en melden?
We hebben een aantal diensten ontwikkeld die helpen bij het implementeren en gebruik van NIS2 denk bijvoorbeeld aan:
Governance:
- Ondersteuning opstellen beleid
- Risicoanalyse
Security
- Beveiligen omgeving Microsoft365 apps
- Zero Trust Policy
- MFA (Multi-Factor Authenticatie)
Back-up
- Bedrijfscontinuïteit d.m.v. back-up
Graag willen we je verder helpen en uitgebreider uitleggen hoe je aan de NIS2-vereisten kan voldoen. Neem vandaag nog contact op.
Heb je vragen over dit onderwerp of zou je Jordy willen inhuren voor een vergelijkbare opdracht?