Wat is de NIS2?
De NIS2 is een cybersecurityrichtlijn en de opvolger van de NIS1 uit 2018. Deze nieuwe richtlijn heeft een grotere impact en omvat meer organisaties. Hoewel het een richtlijn wordt genoemd, is het eigenlijk een opdracht van de EU aan haar lidstaten (waaronder de Nederlandse overheid) om deze richtiljn in wetgeving te implementeren.
Wanneer is de NIS2 van kracht?
De Europese Raad heeft de NIS2-richtiljn in november 2022 vastgelegd. In het najaar van 2023 start een internetconsultatieperiode voor het concept wetvoorstel, waar iedereen feedback kan geven. De verwachting is dat de NIS2 in het najaar van 2024 van kracht wordt.
Wie moet voldoen aan de NIS2?
De NIS2-richtlijn is van toepassing op alle onderstaande type organisaties binnen de EU:
Essentiële en belangrijke organisaties:
- Essentiële organisaties: Dit zijn onder andere nutsbedrijven zoals energie- en waterbedrijven, financiële instellingen, overheidsdiensten, zoals ziekenhuizen en overheidsinstanties, vervoersdiensten zoals luchtvaart en spoorwegen, en communicatiediensten zoals telecomproviders
- Belangrijke organisaties: Dit zijn bedrijven die kritieke diensten leveren aan essentiële organisaties, bedrijven die een root aantal personen verwerken, en bedrijven die belangrijke infrastructuur beheren, zoals waterleidingen en elektrcitietisnetten.
- Grote organisaties:
o Minimaal 250 werknemers OF
o Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen. - Middelgrote organisaties:
o Minimaal 50 werknemers OF
o Een jaaromzet en balanstotaal van meer dan 10 miljoen
Belangrijk om op te merken is dat micro- en klein bedrijven in principe niet onder de NIS2-richtlijn vallen. In uitzonderlijke gevallen, op basis van een risicobeoordeling door de verantwoordelijke minister, kunnen deze bedrijven toch onder de richtlijn vallen als hun diensten van cruciaal belang zijn voor de economie of maatschappij. Dit geldt ook voor bepaalde micro- en kleine bedrijven die actief zijn in specifieke sectoren, denk aan:
- Aanbieders van vertrouwensdiensten (elektronische zegels/handtekeningen)
- Registers voor topleveldomeinnamen (.nl/.com/org)
- Verleners van domeinnaamregistratiediensten
- Aanbieders van openbare elektronischecommunicatienetwerken/communicatiediensten
- Kleine private gehandicaptenzorginstellingen
Het Ministerie heeft een tool ontwikkelt waarmee organisaties kunnen controleren of zij onder deze richtlijn vallen.
Wat houdt de NIS2 in?
Er komt een register waarin organisaties zich moeten laten registreren, beheerd door het Nationaal Cyber Security Centrum (NCSC). De NIS2-richtlijn omvat een zorgplicht met 10 maatregelen, die nog verder moeten worden uitgewerkt door het Ministerie:
- Risicoanalyse: Voer een grondige risicoanalyse uit om cyberrisico's voor de organisatie te identificeren en te beoordelen.
- Incidentenbehandeling: Meld belangrijke cyberincident onder andere aan de Nationale Autoriteit voor Cyberveiligheid.
- Bedrijfscontinuïteit: Stel back-upbeheer, noodvoorzieningenplannen en crisisbeheer op.
- Beveiliging van toeleveringsketen: Stel hogere eisen aan leveranciers en voer leveranciersbeoordelingen uit.
- Netwerk- en informatiesystemen: Beveilig systemen bij het verwerven, ontwikkelen en onderhouden van het netwerk- en informatiesystemen.
- Effectiviteit meten van maatregelen: Meet en monitor maatregelen, registreer en evalueer of ze het gewenste effect hebben.
- Cyberhygiëne en opleiding: Het bestuur van de organisatie is verantwoordelijk voor cybersecurity, niet alleen de IT-afdeling (zoals wij dit nu vaak zien). Zorg ervoor dat de directie hiervoor is opgeleid.
- Cryptografie en encryptie: Stel beleid en procedures op voor het gebruik van cryptografie en encryptie.
- Fysieke beveiliging: Denk aan toegangsbeleid, personeel en activabeheer.
- Gebruik van MFA: Gebruik multifactor-authenticatie of continue-authenticatieoplossingen, beveiligde spraak-, video en tekstcommunicatie, en beveiligde noodcommunicatiesystemen.
Hoe kun je voldoen aan de NIS2?
Organisaties ondernemen verschillende stappen om aan de NIS2 richtlijn te voldoen:
- Cybersecurity Expertise: Het inhuren van een cybersecurity-expert om de richtlijn te evalueren en een plan te ontwikkelen om aan de vereisten te voldoen.
- Implementatie van maatregelen: Het implementeren van passende informatiebeveiligingsmaatregelen, zoals een beveiligingsbeleid, incidentenmanagementplan, en continuïteitsplan. Het volgen van de ISO 27001:2022-richtlijn is sterk aanbevolen.
- Melden van incidenten: Binnen 24 uur significante incidenten melden bij de toezichthouder en CISRT (Computer Security Incident Response Teams) van de organisatie. De drempelwaarden van deze incidenten worden nader bepaald. Daarnaast komt er ook een centraal meldloket. De meldplicht bij de Autoriteit Persoonsgegevens (AP) blijft van kracht.
- Regelmatige evaluatie: Voer regelmatig tests en oefeningen uit om de effectiviteit van de genomen cyberbeveiligingsmaatregelen te beoordelen.
Gevolgen van niet voldoen aan de NIS2
Niet voldoen aan de NIS2-richtlijn kan ernstige gevolgen hebben, waaronder:
- Waarschuwing: Eerst volgt een waarschuwing voor niet-naleving.
- Aanmaning: Bij aanhoudende niet-naleving kan een aanmaning worden uitgevaardigd.
- Boetes: Als laatste sanctie kunnen boetes worden opgelegd, met een maximum van 10 miljoen euro of 2% van de jaaromzet.
Let op! De gevolgen kunnen nog ernstiger worden als jouw organisatie het slachtoffer wordt van hacking en vertrouwelijke informatie op straat komt te liggen, wat tot aansprakelijkheid kan leiden.
Voldoe je aan de NIS2 als je ISO27001 of NEN7510 gecertificeerd bent?
Nee, het voldoen aan de ISO 27001 of NEN7510 is geen garantie dat je aan de NIS2 voldoet. Hoewel een groot deel overeenkomt stelt de NIS2 aanvullende vereisten die niet in deze normen zijn opgenomen.
- ISO27001 is een internationale norm voor informatiebeveiliging managementsystemen. Het stelt een aantal algemene vereisten voor de implementatie van een informatiebeveiligingsbeleid en -beheersysteem die sterk overeenkomen met de eisen vanuit de NIS2.
- NEN7510 is een Nederlandse norm voor informatiebeveiliging in de zorgsector. Het stelt specifieke vereisten voor de beveiliging van persoonsgegevens in de zorgsector.
De NIS2 stelt aanvullende vereisten voor essentiële en belangrijke organisaties zoals:
- Het melden van belangrijke cyberincidenten aan de nationale autoriteit van cyberveiligheid.
- Het uitvoeren van regelmatige tests en oefeningen om de cyberveiligheidsmaatregelen te evalueren.
Door de nieuwe NIS2-richtlijn ligt er meer nadruk op risicomanagement, leveranciersmanagement en incidentenmanagement. Juist het framework van de ISO 27001 biedt een goede basis. De aanvullende vereisten van de NIS2 zijn eenvoudig te implementeren aan dit framework. Zo heeft jouw organisatie één doeltreffend Information Security Management System (ISMS).
Hulp nodig bij het implementeren van een ISO 27001 norm en aanvullende vereisten om te voldoen aan de NIS2? Plan een vrijblijvende kennismaking of bel naar: