NIS2: Wat, wanneer en hoe?

NIS2: WAT, WANNEER EN HOE? (UPDATE)

Auteur Stash Kempinski - Security Consultant

Deze blog is oorspronkelijk geschreven voordat de definitieve versie van NIS2 openbaar werd, maar is nu aangepast aan de definitieve versie.

In december 2020 heeft het Europees Parlement een opvolger van de Netwerk- en Informatiebeveiligingsrichtlijn (NIS) voorgesteld, namelijk NIS2.

Deze opvolger is nodig omdat de toename van cyberdreigingen en de exponentiële digitalisering van de EU ervoor zorgden dat de oorspronkelijke NIS ontoereikend werd. Deze nieuwe richtlijn gaat in oktober 2024 in. In deze blogpost vertellen we je wat NIS2 is, wanneer en hoe het van toepassing is op jouw organisatie.

GA NAAR:

Wat is NIS2?
Wanneer is NIS2 van toepassing?
Wat is het effect van NIS2 op uw organisatie?
NIS2 Webinar Series
Verschil tussen NIS1 & NIS2

WAT IS DE NIS2?

De NIS2 richtlijn is de EU wetgeving die tot doel heeft het niveau van cybersecurity in de Europese Unie te verhogen. Zij doet dit onder meer door een breder scala van industriesectoren aan te pakken, de uitvoering van cybersecurity maatregelen verplicht te stellen en strenge(re) eisen te stellen aan de melding van incidenten.

Momenteel bestaan er grote verschillen in de volwassenheidsniveaus van deze onderwerpen tussen de lidstaten, iets wat deze wetgeving wil stroomlijnen.

De NIS2 vereist niet alleen dat publieke en private organisaties hun cybersecurity houding verbeteren, maar ook dat nationale overheden EU-brede samenwerkings- en kwetsbaarheidsuitwisselingsprogramma's opzetten.

WANNEER IS DE NIS2 VAN TOEPASSING OP UW ORGANISATIE?

De NIS2-richtlijn is bedoeld voor organisaties die door de EU als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/of een omzet van meer dan 10 miljoen euro per jaar.

Deze zogeheten "size cap" geldt echter niet voor organisaties in bepaalde sectoren, zoals organisaties in de kritieke infrastructuur.

Bovendien is deze "size cap" niet van toepassing op organisaties die openbare diensten verlenen (zoals elektronische communicatienetwerken) of die de enige dienstverlener van een overheid zijn.

Deze uitsluiting geldt evenmin voor dienstverleners waarbij een incident gevolgen kan hebben voor de openbare veiligheid, beveiliging of zorg of waar een verstoring systeemrisico's kan veroorzaken.

TYPE VAN ORGANISATIE

Met andere woorden, de NIS2 is altijd van toepassing op organisaties die in deze categorieën vallen, ongeacht hun omvang. Bovendien maakt de NIS2 onderscheid tussen twee soorten organisaties.

Zij worden geclassificeerd als belangrijk of essentieel, afhankelijk van de sector waarin zij actief zijn.

Deze indeling is van grote invloed op de verantwoordelijkheden die organisaties hebben wanneer de NIS2 in werking treedt. Deze verantwoordelijkheden zullen in het volgende deel nader worden toegelicht, hieronder wordt opgesomd welke sectoren onder welke classificatie vallen.

Essentieel

Energie
Transport
Bankwezen
Financiële Marktinfrastructuren
Gezondheidszorg
Drinkwater
Afvalwater
Digitale Infrastructuur
ICT-dienstbeheer (business-to-business)
Openbaar Bestuur
Ruimtevaart

IMPORTANT

Post- en Koeriersdiensten
Afvalbeheer
Fabricage, Productie en Distributie van Chemicaliën
Voedselproductie, Verwerking en Distributie
Productie
Digitale Aanbieders
Onderzoek

HOE HEEFT DE NIS2 EFFECT OP UW ORGANISATIE?

Wanneer de NIS2 is ingevoerd, zal het de (minimale) inspanning die organisaties aan cybersecurity moeten besteden, verhogen. Overheden zullen in staat zijn het management persoonlijk aansprakelijk te stellen als grove nalatigheid wordt aangetoond na een cyberincident.

Bovendien stelt de NIS2 overheden in staat om bij herhaalde nalatigheid iemand (tijdelijk) een bestuursverbod op te leggen. Dit is echter een worst-case scenario en de NIS2 biedt richtlijnen om dergelijke nalatigheid te voorkomen.

Om ervoor te zorgen dat het management zich voldoende bewust is van cyberrisico's, schrijft de NIS2 bijvoorbeeld voor dat bestuursorganen adequate cybersecurity training krijgen. De NIS2 adviseert dat alle werknemers een dergelijke opleiding krijgen, maar dit is niet verplicht.

Verder moeten er activiteiten op het gebied van risicobeheer en -beoordeling worden uitgevoerd om ervoor te zorgen dat het management zich bewust is van en rekening heeft gehouden met de cybersecurity risico's binnen hun organisatie.

Deze proactieve en preventieve maatregelen zijn niet het enige dat in de NIS2 wordt beschreven. Het beschrijft ook verplichte activiteiten na een incident.

INCIDENT VERPLICHTINGEN

Een incident wordt gedefinieerd als een gebeurtenis waarbij "de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de gerelateerde diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen" in gevaar is gebracht.

Wanneer een organisatie kennis krijgt van een dergelijk incident, moet zij binnen 24 uur een eerste rapport indienen bij de toepasselijke autoriteiten indien het incident de beschikbaarheid van de door haar aangeboden diensten heeft verstoord, en binnen 72 uur in elk van de andere genoemde gevallen.

Deze eerste rapporten moeten naar beste vermogen relevante informatie bevatten. Bovendien moet voor alle incidenten binnen een maand na de eerste melding een volledig incidentverslag worden ingediend.

Wanneer een organisatie zich bewust wordt van een dergelijk incident, is zij verplicht om binnen 24 uur na kennisname van het incident een vroege waarschuwing te geven aan de toepasselijke autoriteiten en binnen 72 uur een eerste beoordeling uit te voeren.

Deze beoordeling moet de ernst en de impact van het incident omvatten, en mogelijk indicatoren voor een compromis op basis van beste inspanningen. Ten slotte is voor alle incidenten een volledige incidentmelding binnen een maand na de eerste melding vereist.

CATEGORIESPECIFIEKE EISEN

Naast deze eisen die voor alle organisaties gelden, zijn er ook categoriespecifieke eisen. Essentiële organisaties zijn onderworpen aan inspecties ter plaatse en toezicht buiten het terrein, willekeurige controles inbegrepen.

Dit omvat jaarlijkse en gerichte controles, op basis van de resultaten van risicobeoordelingen of van beschikbare risicogerelateerde informatie. Op verzoek moeten deze organisaties elke vorm van informatie die nodig is om deze toezichttaken uit te voeren aan de audit instantie overhandigen.

TERMIJNEN EN BINDENDE INSTRUCTIES

Deze informatie omvat toegangsgegevens, documenten en bewijzen van uitgevoerde cybersecurity maatregelen. Indien nodig zullen overheden de mogelijkheid hebben om deze organisaties termijnen en bindende instructies op te leggen om naleving te waarborgen.

Anderzijds worden belangrijke organisaties alleen aan dergelijke audits onderworpen wanneer er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de voor hen vastgestelde NIS2-verplichtingen.

ESSENTIELE VS. BELANGRIJKE ORGANISATIES

In tegenstelling tot essentiële organisaties zijn belangrijke organisaties niet verplicht toegang te verlenen tot informatie voor controledoeleinden. Hoe deze verplichtingen worden geïmplementeerd of uitgevoerd, hangt af van de wijze waarop elke lidstaat NIS2 implementeert.

De NIS2 legt organisaties echter niet alleen verplichtingen op, maar helpt hen ook. De lidstaten moeten onder meer hulp bieden bij de uitvoering van de nodige cybersecurity maatregelen, helpen bij de respons op incidenten en regelingen treffen voor het delen van informatie.

Bovendien moeten zij organisaties waarschuwen voor mogelijke cyberdreigingen die relevant voor hen zijn.

NIS2 WEBINARREEKS

We hebben al twee webinars gehad met betrekking tot NIS2.

NIS2 WEBINAR 1

1. In het eerste webinar nodigden we Bart Groothuis, de NIS2 Rapporteur voor het Europees Parlement, uit om te praten over deze nieuwe richtlijn. Tijdens dit webinar bespraken we de noodzaak van deze nieuwe richtlijn, de veranderingen die het met zich mee zal brengen, en hoe de lidstaten organisaties zullen helpen om te voldoen aan de verplichtingen die in NIS2 worden gepresenteerd. Bekijk hier de herhaling: Webinar | De NIS2 Richtlijn

NIS2 WEBINAR 2

2. In het tweede webinar nodigden we Jasper Nagtegaal, het hoofd van de Nederlandse Autoriteit voor Digitale Infrastructuur (RDW), uit om te praten over NIS2 vanuit het perspectief van een toezichthouder. In dit webinar gaf Jasper inzicht in hoe de Nederlandse overheid de handhaving van de oorspronkelijke NIS aanpakte en hoe NIS2 zal worden gehandhaafd door de RDW. Bekijk hier de herhaling: Webinar | NIS2 Perspectieven van een Toezichthouder.

Deze webinars maken deel uit van onze NIS2 webinarreeks, als u op de hoogte wilt blijven van de webinars die Secura houdt, abonneer u dan op onze nieuwsbrief onderaan deze pagina.

Verschil tussen NIS1 en NIS2 (bron: Europese Commissie)

Download Fact Sheet

Download fact sheet

Verschillen tussen NIS1 en NIS2

Download

Meer Informatie

Wilt u meer weten over NIS2 voor uw organisatie? Vul dan het formulier in en wij nemen binnen één werkdag contact met u op.

info@secura.com
+31 (0) 88 888 31 00

Voornaam

Achternaam

Bedrijf / Organisatie

Telefoonnummer

E-mailadres

Bericht

Ik geef toestemming om mijn gegevens te verwerken zoals beschreven in de Privacy Policy.

OVER SECURA

Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.

Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.