NIS2, een uitbreiding op NIS1

De afgelopen jaren zijn de cyberdreigingen aanzienlijk toegenomen. Daarnaast is onze samenleving steeds vaker afhankelijk van digitale infrastructuur. De Europese Commissie constateerde dat er nog veel onduidelijkheid is op het gebied van informatiebeveiliging: aan welke maatregelen dienen organisaties te voldoen, wie is er verantwoordelijk, wat is het toepassingsgebied en hoe wordt er gehandhaafd? Tijd voor een aangepaste richtlijn die alles meer op scherp zet. De NIS2 is een opvolger van de NIS1. Die laatste is sinds 2016 van kracht en in Nederland vastgelegd in de Wet beveiliging netwerk en informatiesystemen (Wbn). Hoewel er gelijkenissen zijn tussen de NIS1 en NIS2, kent de NIS2 een veel grotere impact dan zijn voorganger. Dit komt onder andere doordat de NIS2 van toepassing is op meer sectoren, de beveiligingseisen uitgebreid zijn en het management meer betrokken wordt bij beveiliging van netwerk en informatiesystemen. De wijzigingen van NIS1 naar NIS2 in hoofdlijnen zijn:

• De nieuwe wetgeving is van toepassing op meer sectoren
• Beveiligingseisen zijn uitgebreid
• Managers en Raden van bestuur worden meer betrokken en kunnen verantwoordelijk én aansprakelijk gesteld worden
• Sancties en toezichtbevoegdheden van bevoegde autoriteiten zijn aangescherpt
• Het niet naleven van de NIS-richtlijn kan leiden tot boetes en straffen
• Verplichtingen inzake de melding van incidenten zijn verduidelijkt
• De beveiliging van de keten waar de organisatie deel van uitmaakt, krijgt meer aandacht

NIS2 enkel van toepassing op de vitale sector?

De NIS2 regelgeving is niet van toepassing voor alle bedrijven en organisaties, maar beperkt zich tot de vitale sector. Tot deze sector behoren organisaties en bedrijven die een cruciale rol spelen in onze samenleving, dus het belang van de NIS2 regelgeving is erg groot. Organisaties die behoren tot de vitale sector zijn:

• Energie
• Vervoer
• Bankwezen
• Infrastructuur van financiële markten
• Gezondheidszorg (inclusief laboratoria, onderzoek en medische apparatuur)
• Drinkwater en afvalwater
• Digitale infrastructuur
• Digitale diensten
• Ruimtevaart
• Post- en koeriersdiensten
• Afvalbeheer
• Chemie
• Levensmiddelen
• Industrie (voornamelijk medische, computer- en transportapparatuur)

Belangrijk om rekening mee te houden is dat de NIS2 richtlijn niet uitsluitend geldt voor deze organisaties, maar ook voor de gehele keten van deze organisaties. De regelgeving geldt zodoende ook voor partners, toeleveranciers en serviceproviders van die vitale sector. Het is belangrijk dat iedereen in de gehele keten zijn verantwoordelijkheden begrijpt en de nodige maatregelen treft om de veiligheid van de vitale sector hoog te houden. De ketting is namelijk zo sterk als de zwakste schakel.

Van risicoscan tot encryptie: welke maatregelen dien je te overwegen?

In de essentie dienen organisaties die onder de NIS2-richtlijn vallen hun netwerk- en informatiesystemen te beveiligen tegen cyberaanvallen en andere beveiligingsrisico's. Daarbij dienen ze allereerst hun netwerk- en informatiesystemen te identificeren en te evalueren. Zo bepaal je welke systemen kritiek zijn en waar extra beveiliging nodig is. Vervolgens worden op basis van deze risicoanalyse passende beveiligingsmaatregelen getroffen. Ook dient het management goed op de hoogte te zijn van de aansprakelijkheid en de bijkomende verantwoordelijkheden. Tenslotte dienen organisaties de veiligheid op lange termijn te waarborgen en op regelmatige basis de risicobeoordeling uit te voeren.

Een overzicht van een aantal maatregelen die organisaties kunnen treffen, weergegeven in de NIS2 artikel 18 lid 2:

• Incidentenbehandeling
• Bedrijfscontinuïteit en crisisbeheer
• De beveiliging van de toeleveringsketen
• Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
• Beleid en procedures (pentesten en audits) om de effectiviteit van maatregelen voor het beheer van cyber beveiligingsrisico's te beoordelen
• Het gebruik van cryptografie en encryptie

Het niet naleven van de NIS2 kent grote gevolgen

Het niet naleven van de NIS2 kan leiden tot boetes, sancties én imagoschade. De precieze sancties voor een directielid en/of eindverantwoordelijke die de wet niet naleeft, hangen af van de situatie, van specifieke bepalingen en de nationale wetgeving van de lidstaat waar het bedrijf is gevestigd. Een juridische game changer bij de NIS2 is dat deze regelgeving nu ook verantwoordelijken aansprakelijk kan stellen in geval van grove nalatigheid. Denk hierbij aan managementposities of bestuurders. Ook klanten of partners kunnen eenvoudiger juridische stappen ondernemen. Verder spreekt het voor zich dat het niet naleven van de NIS2 een negatief effect heeft op het imago van de organisatie. Je wilt natuurlijk niet bekendstaan als een organisatie die informatiebeveiliging niet serieus neemt.

Van richtlijn naar praktijk

Wat je precies dient in te richten aan maatregelen is niet altijd duidelijk. Op basis van jouw risicoanalyse dien je ‘passende maatregelen’ te treffen. Maar wat is passend? En hoe voorkom je dat je zaken over het hoofd ziet en alsnog juridische gevolgen oploopt?

Daar nemen we je graag in mee tijdens ons live webinar op 8 juni: NIS2 van regelgeving naar praktijk. 3 gerenommeerde cyber security partijen bieden je concrete handvatten aan bij het voldoen aan de NIS2 richtlijnen. Brand Compliance, Perium en Hacksclusive delen hun kennis over security governance en periodiek pentesten als maatregelen bij een coherente NIS2 aanpak.

Meer informatie over het webinar en aanmelden vind je hier:
https://hacksclusive.com/webinar-nis2

Dit artikel werd geschreven in samenwerking met Perium.