In een tijd waarin digitale infrastructuren steeds meer het kloppende hart van onze samenleving vormen, is de bescherming tegen cyberaanvallen van vitaal belang. De Europese Unie erkent deze urgentie en heeft daarom in 2015 de Network & Information Systems (NIS)-richtlijn in het leven geroepen om organisaties te wapenen tegen deze groeiende dreiging. Deze richtlijn was met name gericht op entiteiten die cruciaal zijn voor de essentiële werking van onze maatschappij. De NIS2-richtlijn is hier de opvolger van.
Voor bedrijven die eerder al onder de originele NIS-richtlijn vielen, is het belangrijk om hun cyberbeveiligingsstrategieën opnieuw te herzien en aan te passen aan deze nieuwe richtlijn. Maar voordat we dieper ingaan op de details van de NIS2-richtlijn, is het belangrijk om te begrijpen wat deze nieuwe richtlijn precies inhoudt en hoe die van invloed is op organisaties in verschillende sectoren.
Ga direct naar:
- Wat is de NIS2-richtlijn?
- Voor wie is de NIS2 en vanaf wanneer gaat de NIS2 in?
- Hoe geef je invulling aan de NIS2-richtlijn?
- Overlap met de ISO 27001
Benieuwd hoe Base27 u kan ondersteunen bij de implementatie van de NIS2?
Wat is de NIS2-richtlijn?
De NIS2-richtlijn staat voor de Network and Information Security Directive en is de opvolger van de NIS-richtlijn. De nieuwe (bijgewerkte) richtlijn is vastgesteld door de Europese Unie en het doel ervan is om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te optimaliseren.
Het grootste verschil tussen de originele NIS-richtlijn en de NIS2-richtlijn is de reikwijdte. De NIS2 omvat meer sectoren en stelt striktere beveiligingsnormen en meldingsvereisten voor incidenten. Daarnaast heeft de NIS2 ook een meer dwingend karakter.
De Europese Unie is in 2020 begonnen met het opstellen van de NIS2-richtlijn en deze is eind 2022 vastgesteld. Volgens de Digitale Overheid is de reden voor de herziening ontstaan uit de steeds groeiende druk op onze economie en continue ontwikkelingen omtrent de veiligheid van onze maatschappij. Voornamelijk met de focus op de nieuwe ontwikkelingen in cyberveiligheidrisico’s.
De NIS2-richtlijn stuurt daarom vooral op risico’s die netwerk- en informatiesystemen bedreigen. Denk hierbij aan;
- phishingaanvallen;
- malware-infecties;
- ongepatchte software en systemen;
- AI-gedreven aanvallen of misleidingen;
- ransomware;
- en meer.
Voor wie is de NIS2 en vanaf wanneer gaat de NIS2 in?
Het grote verschil tussen de NIS en de NIS2-richtlijn is dat bedrijven die nu in een bepaalde sector werken en volgens bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit automatisch onder de richtlijn vallen. We lichten beide kenmerken verder toe.
De sectoren
Onder de nieuwe richtlijn zijn meer sectoren toegevoegd. De sectoren zijn als volgt ingedeeld:
Essentiële sectoren | Belangrijke sectoren |
|
|
* Deze sectoren zijn toegevoegd in de NIS2-richtlijn. Let wel op, digitale infrastructuur viel al eerder onder de NIS-richtlijn; deze is voornamelijk uitgebreid.
Essentiële en belangrijke entiteiten:
Er wordt onderscheid gemaakt tussen essentiële en belangrijke entiteiten.
Essentiële entiteiten
- Volgens de CER-richtlijn aangewezen organisaties als kritieke entiteiten worden automatisch beschouwd als essentiële instanties onder de NIS2-richtlijn.
- Grote bedrijven die opereren binnen de essentiële sectoren van de NIS2-richtlijn (zie tabel).
- Een bedrijf wordt als groot beschouwd op basis van de volgende criteria:
- Minimaal 250 werknemers, of
- Jaarlijkse omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten
- Middelgrote bedrijven actief in de belangrijke sectoren en middelgrote en grote bedrijven actief in belangrijke sectoren van de NIS2-richtlijn (zie tabel).
- Een bedrijf wordt als middelgroot beschouwd op basis van de volgende criteria:
- Minimaal 50 werknemers, of
- Jaarlijkse omzet en balanstotaal van meer dan 10 miljoen euro.
Overige entiteiten die ook onder de richtlijn vallen
Over het algemeen vallen micro-en kleinbedrijven niet onder de NIS2-richtlijn, tenzij ze door het ministerie worden uitgewezen als cruciaal voor de Nederlandse economie. In dat geval zal het ministerie ze hiervan op de hoogte stellen. Toch zijn hier ook uitzonderingen te vinden.
Micro- en kleinbedrijven die wél onder de NIS2-richtlijn vallen zijn micro-en kleinbedrijven die actief zijn als;
- aanbieder van vertrouwensdiensten;
- register voor topleveldomeinnamen;
- verleners van domeinnaamregistratie diensten;
- aanbieders van openbare elektronische-communicatienetwerken;
- of van openbare elektronische-communicatiediensten.
Weet jij niet zeker of jouw organisatie onder de NIS2-richtlijn valt? Doe dan de NIS2 Zelfevaluatietest van de Rijksoverheid.
Ingangsdatum van de NIS2-richtlijn
Sinds januari 2023 werkt de overheid eraan om de NIS2, opgesteld door de EU, te vertalen naar de Nederlandse wetgeving. Vooraleerst start er tussen 21 mei en 2 juli 2024 een consultatieperiode waarin concept wetteksten bekendgemaakt worden. Hier mogen verbetersuggesties gemaakt worden. Nederland heeft tot 17 oktober 2024 de tijd om de nationale regels op de Europese standaard aan te passen.
Zodra de consultatieperiode start kunnen de conceptteksten hier geraadpleegd worden.
Hoe geef je invulling aan de NIS2-richtlijn?
Voor bedrijven die al onder de originele NIS-richtlijn vielen zal er niet al te veel veranderen. De focus van de NIS2-richtlijn ligt namelijk op risicomanagement met de nadruk op de verantwoordelijkheid van het management.
Er zijn verschillende manieren om alvast invulling te geven aan de NIS2-richtlijn.
1. Beleid inzake risicoanalyse en beveiliging van informatiesystemen
Allereerst is het belangrijk om gedegen risicoanalyses uit te voeren en hiervoor een beleid op te stellen met betrekking tot informatiebeveiliging en systeemveiligheid. Dit beleid zal verschillende aspecten omvatten, zoals het identificeren van potentiële bedreigingen en kwetsbaarheden, en het implementeren van maatregelen om deze te beheersen.
2. Incidentafhandeling
Incidentafhandeling is een ander belangrijk aspect van voorbereiding op de NIS2-richtlijn. Bedrijven moeten procedures opstellen voor het snel detecteren, rapporteren en reageren op beveiligingsincidenten om de impact ervan te minimaliseren.
Dit omvat het vaststellen van verantwoordelijkheden binnen de organisatie en het opzetten van communicatielijnen met relevante autoriteiten en stakeholders. Houdt hierbij wel rekening mee dat de drempels voor het melden van incidenten zijn verlaagd, terwijl meer soorten incidenten nu verplicht gemeld moeten worden (en sneller).
3. Bedrijfscontinuïteit
Businesscontinuïteit is eveneens van vitaal belang. Bedrijven moeten plannen opstellen voor het beheer van back-ups, het herstel van gegevens na een ramp en het omgaan met crisissituaties om operationele verstoringen te voorkomen of te minimaliseren.
4. Beveiliging van supply chain (toeleveringsketen)
Supply chain-beveiliging is een opkomend aandachtspunt. Bedrijven moeten de beveiligingsaspecten van hun relaties met leveranciers en dienstverleners evalueren en passende maatregelen nemen om risico's te beperken. Houdt hierbij rekening dat de NIS2 bedrijven verplicht om cybersecurity-risico’s ook in hun toeleveringsketens te adresseren.
5. Netwerk- en informatiesystemen
Bij de aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen is het belangrijk om aandacht te besteden aan kwetsbaarheden en openbaarmaking, evenals aan het implementeren van beveiligingsmaatregelen gedurende de levenscyclus van deze systemen.
6. Beleid en procedures
Om te voldoen aan de vereisten van de NIS2-richtlijn en proactief te zijn in het beschermen van gevoelige informatie, is het belangrijk voor bedrijven om een gestructureerde aanpak te hanteren bij het opstellen van beleid en procedures.
Het is belangrijk om regelmatig de effectiviteit van de genomen maatregelen te evalueren en om ervoor te zorgen dat medewerkers beschikken over de nodige kennis en training op het gebied van cybersecurity. Denk er bijvoorbeeld ook over na om een beleid en procedures op te stellen met betrekking tot het gebruik van cryptografie en encryptie (indien nodig).
7. Toegangscontrole
Tot slot, het implementeren van multifactor-authenticatie en beveiligde communicatiesystemen kan helpen om de toegang tot gevoelige informatie te beperken en de algehele beveiliging van het bedrijf te verbeteren. Denk hierbij ook aan human resource beveiligingsmaatregelen, een toegangscontrole-beleid en asset management.
Wil jij weten hoe ver jouw organisatie is om te voldoen aan de NIS2-richtlijn? Doe dan de Quickscan NIS2-richtlijn.
Overlap met de ISO 27001
ISO 27001 biedt een framework voor organisaties om hun informatiebeveiligingsmaatregelen te structureren en te implementeren. Veel van de vereisten die in de NIS2-richtlijn worden genoemd, vinden hun gelijkenissen in de ISO 27001-standaard. Dit betekent dat organisaties die al voldoen aan ISO 27001 in grote lijnen al voldoen aan de vereisten van de NIS2-richtlijn.
Een belangrijke overeenkomst tussen ISO 27001 en de NIS2-richtlijn is te vinden op de gebieden van risicoanalyse, informatiebeveiligingsbeleid en incidentafhandeling. De ISO 27001 vereist namelijk dat organisaties een gedocumenteerd informatiebeveiligingsbeleid hebben, risicoanalyses uitvoeren en procedures implementeren voor het afhandelen van beveiligingsincidenten - allemaal aspecten die ook onder de NIS2-richtlijn vallen.
Daarnaast richt de ISO 27001 zich op aspecten zoals bedrijfscontinuïteit, supply chain security, en de beveiliging van netwerk- en informatiesystemen tijdens de acquisitie, ontwikkeling en onderhoudsfases. Deze gebieden komen overeen met de vereisten van de NIS2-richtlijn met betrekking tot crisismanagement, supply chain security, en beleid en procedures voor de ontwikkeling en het onderhoud van veilige systemen.
Bovendien dekt de ISO 27001 ook onderwerpen zoals toegangscontrole, asset management, en het gebruik van encryptie - aspecten die belangrijk zijn voor het waarborgen van de integriteit en vertrouwelijkheid van informatie, en die ook onder de NIS2-richtlijn vallen.
Door te voldoen aan ISO 27001 kunnen organisaties een goede basis leggen voor naleving van de NIS2-richtlijn. Dit betekent dat bedrijven die al ISO 27001-gecertificeerd zijn, slechts kleine aanpassingen hoeven te maken om volledig te voldoen aan de NIS2-richtlijn.