NIS2: Wat, wanneer en hoe? (Update)

De NIS2 richtlijn is de EU wetgeving die tot doel heeft het niveau van cybersecurity in de Europese Unie te verhogen. Zij doet dit onder meer door een breder scala van industriesectoren aan te pakken, de uitvoering van cybersecurity maatregelen verplicht te stellen en strenge(re) eisen te stellen aan de melding van incidenten.

Momenteel bestaan er grote verschillen in de volwassenheidsniveaus van deze onderwerpen tussen de lidstaten, iets wat deze wetgeving wil stroomlijnen.

De NIS2 vereist niet alleen dat publieke en private organisaties hun cybersecurity houding verbeteren, maar ook dat nationale overheden EU-brede samenwerkings- en kwetsbaarheidsuitwisselingsprogramma's opzetten.

De NIS2-richtlijn is bedoeld voor organisaties die door de EU als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/of een omzet van meer dan 10 miljoen euro per jaar.

Deze zogeheten "size cap" geldt echter niet voor organisaties in bepaalde sectoren, zoals organisaties in de kritieke infrastructuur.

Bovendien is deze "size cap" niet van toepassing op organisaties die openbare diensten verlenen (zoals elektronische communicatienetwerken) of die de enige dienstverlener van een overheid zijn.

Deze uitsluiting geldt evenmin voor dienstverleners waarbij een incident gevolgen kan hebben voor de openbare veiligheid, beveiliging of zorg of waar een verstoring systeemrisico's kan veroorzaken.

Type van organisatie

Met andere woorden, de NIS2 is altijd van toepassing op organisaties die in deze categorieën vallen, ongeacht hun omvang. Bovendien maakt de NIS2 onderscheid tussen twee soorten organisaties.

Zij worden geclassificeerd als belangrijk of essentieel, afhankelijk van de sector waarin zij actief zijn.

Deze indeling is van grote invloed op de verantwoordelijkheden die organisaties hebben wanneer de NIS2 in werking treedt. Deze verantwoordelijkheden zullen in het volgende deel nader worden toegelicht, hieronder wordt opgesomd welke sectoren onder welke classificatie vallen.

Wanneer de NIS2 is ingevoerd, zal het de (minimale) inspanning die organisaties aan cybersecurity moeten besteden, verhogen. Overheden zullen in staat zijn het management persoonlijk aansprakelijk te stellen als grove nalatigheid wordt aangetoond na een cyberincident.

Bovendien stelt de NIS2 overheden in staat om bij herhaalde nalatigheid iemand (tijdelijk) een bestuursverbod op te leggen. Dit is echter een worst-case scenario en de NIS2 biedt richtlijnen om dergelijke nalatigheid te voorkomen.

Om ervoor te zorgen dat het management zich voldoende bewust is van cyberrisico's, schrijft de NIS2 bijvoorbeeld voor dat bestuursorganen adequate cybersecurity training krijgen. De NIS2 adviseert dat alle werknemers een dergelijke opleiding krijgen, maar dit is niet verplicht.

Verder moeten er activiteiten op het gebied van risicobeheer en -beoordeling worden uitgevoerd om ervoor te zorgen dat het management zich bewust is van en rekening heeft gehouden met de cybersecurity risico's binnen hun organisatie.

Deze proactieve en preventieve maatregelen zijn niet het enige dat in de NIS2 wordt beschreven. Het beschrijft ook verplichte activiteiten na een incident.

Incident verplichtingen

Een incident wordt gedefinieerd als een gebeurtenis waarbij "de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de gerelateerde diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen" in gevaar is gebracht.

Wanneer een organisatie kennis krijgt van een dergelijk incident, moet zij binnen 24 uur een eerste rapport indienen bij de toepasselijke autoriteiten indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en binnen 72 uur in elk van de andere genoemde gevallen.

Deze eerste rapporten moeten naar beste vermogen relevante informatie bevatten. Bovendien moet voor alle incidenten binnen een maand na de eerste melding een volledig incidentverslag worden ingediend.

Wanneer een organisatie zich bewust wordt van een dergelijk incident, is zij verplicht om binnen 24 uur na kennisname van het incident een vroege waarschuwing te geven aan de toepasselijke autoriteiten en binnen 72 uur een eerste beoordeling uit te voeren.

Deze beoordeling moet de ernst en de impact van het incident omvatten, en mogelijk indicatoren voor een compromis op basis van beste inspanningen. Ten slotte is voor alle incidenten een volledige incidentmelding binnen een maand na de eerste melding vereist.

Categoriespecifieke eisen

Naast deze eisen die voor alle organisaties gelden, zijn er ook categoriespecifieke eisen. Essentiële organisaties zijn onderworpen aan inspecties ter plaatse en toezicht buiten het terrein, willekeurige controles inbegrepen.

Dit omvat jaarlijkse en gerichte controles, op basis van de resultaten van risicobeoordelingen of van beschikbare risicogerelateerde informatie. Op verzoek moeten deze organisaties elke vorm van informatie die nodig is om deze toezichttaken uit te voeren aan de audit instantie overhandigen.

Termijnen en bindende instructies

Deze informatie omvat toegangsgegevens, documenten en bewijzen van uitgevoerde cybersecurity maatregelen. Indien nodig zullen overheden de mogelijkheid hebben om deze organisaties termijnen en bindende instructies op te leggen om naleving te waarborgen.

Anderzijds worden belangrijke organisaties alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen.

Essentiele vs. belangrijke organisaties

In tegenstelling tot essentiële organisaties zijn belangrijke organisaties niet verplicht toegang te verlenen tot informatie voor controledoeleinden. Hoe deze verplichtingen worden geïmplementeerd of uitgevoerd, hangt af van de wijze waarop elke lidstaat NIS2 implementeert.

De NIS2 legt organisaties echter niet alleen verplichtingen op, maar helpt hen ook. De lidstaten moeten onder meer hulp bieden bij de uitvoering van de nodige cybersecurity maatregelen, helpen bij de respons op incidenten en regelingen treffen voor het delen van informatie.

Bovendien moeten zij organisaties waarschuwen voor mogelijke cyberdreigingen die relevant voor hen zijn.

NIS2 webinarserie

We hebben de volgende NIS2 webinars uitgezonden:

NIS2 Webinar 1

1. In het eerste webinar geeft Bart Groothuis, de NIS2 Rapporteur voor het Europees Parlement, uitleg over deze nieuwe richtlijn. Tijdens dit webinar bespraken we de noodzaak van NIS2, de veranderingen die deze met zich meebrengt, en hoe de lidstaten organisaties zullen helpen om te voldoen aan de verplichtingen die in NIS2 worden gepresenteerd. Bekijk de opname hier: Webinar | The NIS2 Directive.

NIS2 Webinar 2

2. In het tweede webinar nodigden we Jasper Nagtegaal, het hoofd van de Autoriteit Digitale Infrastructuur (RDI), uit om te praten over NIS2 vanuit het perspectief van een toezichthouder. In dit webinar gaf Jasper inzicht in hoe de Nederlandse overheid omging met de handhaving van de oorspronkelijke NIS en hoe NIS2 zal worden gehandhaafd door de RDW. Bekijk de opname hier: Webinar | NIS2 Perspectives from a Regulator.

Deze webinars maken deel uit van onze NIS2 webinars serie, wil je op de hoogte blijven van de webinars die Secura houdt, schrijf je dan in voor onze nieuwsbrief onderaan deze pagina.