NIS2 - Network and Information Security directive
De richtlijn om digitale weerbaarheid van essentiële en belangrijke diensten in EU-lidstaten te verbeteren
In 2016 trad de eerste Network and Information Security directive (NIS) in werking, met als doel de digitale weerbaarheid in de Europese Unie (EU) te verbeteren. Door de snelle digitale transformatie is er nu toegewerkt naar een nieuwe richtlijn, de NIS2. Deze ontwikkeling markeert een cruciale stap in de versterking van de digitale weerbaarheid van de lidstaten in de EU. Deze richtlijn breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te omvatten, waardoor een breder spectrum aan entiteiten verantwoordelijk is voor het handhaven van een hoog cybersecurityniveau. Met een focus op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, streeft NIS2 naar Europese harmonisatie en een verhoogd niveau van cyberbeveiliging. Het is een antwoord op de groeiende cyberdreigingen en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, en benadrukt het belang van proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken.
De bepalingen uit de NIS2-richtlijn worden omgezet in nationale wetgeving. In Nederland wordt de vertaalslag gemaakt in de Cyberbeveiligingswet (Cbw). Net als de overheid adviseren wij om niet af te wachten tot deze wetgeving er is, maar alvast voorbereidingen te treffen. De risico’s op het gebied van informatiebeveiliging wachten ten slotte niet tot wet- en regelgeving gereed is. Sta jij aan het roer van een veilige en verantwoorde beveiliging? Dan is het nu tijd om alvast actie te ondernemen en je voor te bereiden op de NIS2.
Uitleg over de NIS2
Wat zijn de verplichtingen uit de NIS2-richtlijn?
Organisaties die belangrijk of essentieel zijn voor het functioneren van de maatschappij of economie vallen onder de NIS2-richtlijn en krijgen te maken met vier verplichtingen, namelijk:
- Zorgplicht: Organisaties zijn verplicht om zelf een risicobeoordeling te doen. Op basis van deze risicobeoordeling dienen technische, operationele en organisatorische maatregelen getroffen te worden om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht: Organisaties dienen binnen 24 uur incidenten, die aanzienlijke gevolgen (kunnen) hebben voor de verlening van hun diensten, te melden bij de toezichthouder. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
- Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registeren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
- Toezicht: Organisaties komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn zoals de zorg- en meldplicht.
Op wie is de NIS2-richtlijn van toepassing?
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:
- Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
- Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.
Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.
- Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
- Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.
Hoe kunnen wij helpen?
Het voldoen aan de NIS2-richtlijn zorgt ervoor dat de digitale weerbaarheid binnen jouw organisatie naar een hoger niveau wordt getild. Ondanks dat de nationale wetgeving nog niet gereed is, raden wij je aan om alvast aan de slag te gaan met de verplichtingen uit de NIS2. Heeft jouw organisatie onvoldoende middelen en/of expertise in huis om deze richtlijn te implementeren? Dan staan onze professionals voor je klaar! We kunnen onder andere ondersteunen op de volgende gebieden met betrekking tot de NIS2:
- Het uitvoeren van een gapanalyse om te bepalen waar jouw organisatie staat ten opzichte van de eisen uit de NIS2-richtlijn.
- Het in kaart brengen van de belangrijkste risico’s voor de netwerk- en informatiesystemen van jouw organisatie, middels een risicoanalyse.
- Het ondersteunen bij de implementatie en het aantoonbaar maken van de beveiligingsmaatregelen, zoals genoemd in de zorgplicht.
- Het inrichten van processen die de organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden (business continuity management).
- Het fungeren als sparringpartner over de NIS2.
Meest gestelde vragen
We zetten de meest gestelde vragen over NIS2 voor je op een rijtje.
De lidstaten van de Europese Unie dienen de NIS2-richtlijn uiterlijk 17 oktober om te zetten in Nederlandse wetgeving. In Nederland wordt deze vertaalslag gemaakt in de Wet beveiliging netwerk en informatiesystemen (Wbni). Echter, in een kamerbrief van 25 januari 2024 heeft Dilan Yesilgöz (Minister van Jusitie en Veiligheid) laten weten dat het omzetten van de richtlijn in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. De deadline van 17 oktober gaat dan ook niet gehaald worden. De naleving van deze nieuwe richtlijn zal voorlopig nog niet afdwingbaar zijn in Nederland.
In principe vallen micro- en kleinbedrijven niet onder de NIS2-richtlijn. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Tot slot kan het ook voorkomen dat je niet direct aan de NIS2-richtlijn hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.
Een organisatie die onder de NIS2-richtlijn valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:
- Een risicoanalyse en beveiliging van informatiesystemen;
- (Beleid en procedures over) incidentenbehandeling;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Beveiliging van de toeleveranciersketen;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de NIS2-richtlijn vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.
Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de NIS2-richtlijn. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de NIS2. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.
Benieuwd hoe de maatregelen van NIS2 verschillen van andere normenkaders voor informatiebeveiliging? Lees dan ons driedelige blogserie:
