Wat is NIS2?
NIS2 (Network and Information Security 2) is de vernieuwde EU-richtlijn voor cyberbeveiliging, die de oorspronkelijke NIS-richtlijn (2016) vervangt. De NIS2-richtlijn is opgesteld om het niveau van cyberbeveiliging bij leveranciers van essentiële en belangrijke diensten te verhogen, risico’s voor netwerk- en informatiesystemen te mitigeren en de continuïteit van deze diensten zo goed als mogelijk te garanderen.
De NIS-2 richtlijn is automatisch van toepassing voor organisaties in de sectoren in onderstaande tabel die voldoen aan de eisen m.b.t. aantal medewerkers of omzet/ balanstotaal. Hierbij is een opsplitsing gemaakt tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’.
Verplichtingen
De belangrijkste verplichtingen uit de NIS2-richtlijn zijn op te delen in vier onderdelen:
Zorgplicht – De NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Registratieplicht – Entiteiten die onder de cyberbeveiligingswet vallen zijn verplicht zich te registreren in het entiteitenregister van het NCSC. Organisaties waarop NIS2 van toepassing is worden niet op de hoogte gesteld. Organisaties dienen zelf te bepalen of de richtlijn op hen van toepassing.
Meldplicht – Incidenten die verlening van essentiële diensten aanzienlijk kunnen verstoren dienen binnen 24 uur gemeld te worden. Dit in het geval van een cyber incident bij het Computer Security Incident Response Team (CSIRT) van het NCTV.
Toezicht – Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.
De NIS2-richtlijn is gepubliceerd in december 2022. Europese lidstaten hadden tot 17 oktober 2024 de tijd om de NIS2 op te nemen in nationale wetgeving. De Nederlandse invoering vindt naar verwachting plaats rond 1 juli 2025. Dit omdat meer tijd nodig is om de NIS 2 richtlijn te borgen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De invoering heeft in een aantal omliggende landen reeds plaatsgevonden.
In de NIS2-richtlijn is opgenomen dat boetes op basis van de wereldwijde omzet kunnen worden opgelegd. Voor essentiële entiteiten is de boete minimaal 10 miljoen euro of twee procent van de totale omzet (afhankelijk van welk bedrag het hoogst is. Voor belangrijke entiteiten is deze boete minimaal zeven miljoen euro of 1,4 procent van de omzet. Daarnaast kunnen personen op directieniveau persoonlijk aansprakelijk worden gesteld op het moment dat zij hun verplichtingen op het gebied van de richtlijn niet nakomen.
Ketenverantwoordelijkheid
Aanbieders van essentiële en belangrijke diensten en digitale aanbieders moeten maatregelen nemen om de beveiliging van hun toeleveringsketen te waarborgen. Dit omvat het evalueren van de beveiligingsmaatregelen van leveranciers en het nemen van passende maatregelen om ervoor te zorgen dat de geleverde producten en diensten voldoen aan de beveiligingsvereisten.
Essentiële en belangrijke entiteiten die onder de NIS2-richtlijn vallen, worden verantwoordelijk voor de beveiliging van hun toeleveringsketen. Dit betekent dat zij moeten beoordelen welke risico’s hun leveranciers en dienstverleners met zich meebrengen en passende maatregelen nemen om de veiligheid van de gehele keten te waarborgen. Dit geldt logischerwijs alleen voor partijen in de toeleveringsketen die digitale diensten of producten leveren en/ of toegang hebben tot netwerk- of informatiesystemen van de entiteit. ENISA (het Europese agentschap voor cyberbeveiliging) heeft de volgende typen ICT-toeleveranciers gedefinieerd:
Fabrikanten (leveranciers van hardware)
System integrators
ICT-service management (MS(S)P’s).
Aanbieders van digitale diensten (SaaS, PaaS, IaaS)
Externe partijen die toegang hebben tot netwerken of systemen (inclusief contractors)
De NIS2-richtlijn/ WBNI is dus niet direct van toepassing op de ketenpartners (tenzij zij zelf als essentiële of belangrijke entiteit worden geclassificeerd). Wel kunnen zij vragen verwachten over genomen maatregelen op het gebied van informatiebeveiliging. Hoewel ketenpartners dus niet direct onder NIS2 vallen, is het wel verstandig om proactief te werken aan informatiebeveiliging, bijvoorbeeld door een ISO 27001-gecertificeerd ISMS in te richten. Dit helpt niet alleen bij nalevingseisen vanuit klanten, maar verhoogt ook de weerbaarheid tegen cyberdreigingen.
Hoe kun jij je als organisatie alvast voorbereiden op NIS2?
Voor zowel direct onder NIS2 vallende entiteiten als hun ketenpartners is het opzetten van een gecertificeerd Information Security Management System (ISMS) een cruciale stap. Een ISO 27001-certificering helpt organisaties om aan te tonen dat hun informatiebeveiliging structureel is ingericht en risico’s effectief worden beheerst. Dit is met de invoering van NIS2 nog belangrijker geworden, omdat essentiële en belangrijke entiteiten verplicht zijn om beveiligingsmaatregelen te nemen en de risico’s binnen hun toeleveringsketen te beheersen.
Ook voor ketenpartners is het inrichten van een gecertificeerd ISMS een belangrijke aanbeveling. Middels dit certificaat kan immers eenvoudiger worden aangetoond dat informatiebeveiliging op een passende wijze is ingericht en risico’s worden gemitigeerd, wat voor kritische en belangrijke entiteiten door NIS2 nog belangrijker wordt. Door het kunnen overleggen van een ISO 27001-certificaat wordt een groot deel van specifieke vragen en leveranciersaudits teruggedrongen. Hiervoor is het uiteraard wel van belang dat de door de essentiële of belangrijke entiteit afgenomen producten of diensten (en de hiervoor benodigde processen) onderdeel zijn van het toepassingsgebied van het managementsysteem.
Door nu te starten met het opzetten, implementeren en continu verbeteren van een ISO 27001-gecertificeerd ISMS, zorg je ervoor dat jouw organisatie klaar is voor NIS2 én beter bestand is tegen cyberdreigingen.
Benieuwd hoe wij jouw organisatie kunnen helpen bij het voldoen aan de NIS2? Neem gerust contact met ons op.
Opmerkingen