Wat is NIS2?
NIS2 is één van de vele nieuwe richtlijnen die binnen afzienbare tijd van toepassing worden voor de lidstaten van de Europese Unie. NIS2 is een Europese richtlijn en staat voor Network- and Information Security 2. Het is de opvolger van NIS uit 2016, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 is geen aanvulling op de oude NIS maar vervangt deze volledig. Het doel van NIS2 is het verbeteren van zowel de digitale als economische weerbaarheid. De Nederlandse overheid moet NIS2 nog omzetten naar nationale wetgeving. Doel was 17 oktober 2024 maar de regering heeft al aangegeven dat zij dit niet gaat halen¹. Desalniettemin is het algemene advies om als organisatie per 17 oktober 2024 te voldoen aan deze richtlijn; voor de digitale veiligheid van uw organisatie en eisen vanuit uw klanten.
Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren. Organisaties die middelgroot (minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.
Essentieel | Belangrijk |
Energie | Digitale aanbieders |
Transport | Post- en koeriersdiensten |
Bankwezen | Afvalstoffenbeheer |
Infrastructuur financiële markt | Levensmiddelen |
Gezondheidszorg | Chemische stoffen |
Drinkwater | Onderzoek |
Digitale infrastructuur | Vervaardiging / manufacturing |
Beheerders van ICT-diensten | |
Afvalwater | |
Overheidsdiensten | |
Ruimtevaart |
Verder geldt de richtlijn nog voor specifieke organisaties ongeacht de omvang.
De eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid.
Een ander belangrijk verschil met NIS is dat de toezichthouder bij essentiële entiteiten niet alleen optreedt naar aanleiding van een extern geconstateerde overtreding of een incident maar, bijvoorbeeld door het uitvoeren van audits, ook op zoek kan gaan naar non-compliance. Bij belangrijke entiteiten is alleen de controle achteraf naar aanleiding van een signaal.
De cybersecurity-maatregelen
Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake ten aanzien van beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc. In onze white paper vindt u een verdere uiteenzetting.
Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers.
Meldingsplicht
Naast het verplicht nemen van maatregelen geldt een gefaseerde meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen. Deze bestaat uit een initiële melding (binnen 24 uur), een uitgebreidere 72-uurs incidentmelding en een eindverslag uiterlijk binnen één maand na de indiening van de 72-uurs melding. Het staat de toezichthouder verder vrij om tussentijds verdere informatie op te vragen.
Sancties
Hierboven is al gerefereerd aan de mogelijke sancties die kunnen gelden bij overtreding van de richtlijn. Er is veel overlap van sancties voor essentiële en belangrijke entiteiten. De belangrijkste verschillen zitten in de hoogte van de boetes en voor de essentiële entiteiten geldt aanvullend dat bestuurders kunnen worden geschorst en persoonlijk aansprakelijkheid kunnen worden gesteld als zij hun verplichtingen op grond van de richtlijn niet nakomen.
Onze visie op NIS2
NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. En dat NIS2 niet alleen impact zal hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen.
Wat opvalt, is dat de genoemde maatregelen niet normerend worden geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is in de bijbehorende regulatory technical standards.
De overheid adviseert overheidsinstanties aan te sluiten bij bestaande kaders, in dit geval BIO (Baseline Informatiebeveiliging Overheid) waarbij de BIO naar alle waarschijnlijkheid zal worden uitgebreid². Ook wij adviseren om een normenkader te hanteren, bijvoorbeeld de DNB Good Practice Informatiebeveiliging of de handreikingen van het Nationaal Cyber Security Centrum. Uiteraard zijn dit richtlijnen en ontslaat dat de organisatie niet van het zelf nadenken over passende maatregelen. Elke organisatie en ICT-inrichting vraagt eigen maatregelen.
Wat verder opvalt, is de grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Stevige monitoring is dus vereist. Tevens dient het bestuur verplicht training te volgen.
Kijkend naar de potentiële reikwijdte van de richtlijn, de impact en de sancties is NIS2 een wetgeving om serieus te nemen. Buiten het wetgevende kader zijn de meeste maatregelen die worden genoemd overigens sowieso relevant om te implementeren.
Onze aanpak
Om compliant te worden aan NIS2, adviseren wij u de volgende stappen te nemen:
- Voer een risicoanalyse uit op informatiebeveiliging/cyber risico’s; raak daar minimaal de onderwerpen uit artikel 21;
- Geef daarbij speciale aandacht aan uw leveranciersketen;
- Stel de te nemen noodzakelijke maatregelen vast (al dan niet op basis van een (aangepast) normenkader zoals BIO of DNB Good Practice IB;
- Laat de genomen maatregelen door het bestuur goedkeuren;
- Implementeer de maatregelen;
- Toets periodiek het bestaan en de werking van deze maatregelen (monitoring) en rapporteer hierover aan het bestuur;
- Zorg voor onderhoud van het via bovenstaande stappen gerealiseerde risico-control framework.
Uiteraard vragen deze stappen om verdere detaillering en inhoudelijke kennis om deze verder goed uit te werken.
Voor meer gedetailleerde informatie over NIS2 kunt u ons gratis whitepaper downloaden.
Wilt u meer weten of een keer sparren over NIS2? Ontdek onze diensten of neem contact op met Marc van Heese via marc@arcpeople.nl of 06-52073162.