De ‘Network and Information Security Directive’ (NIS) is de eerste Europese wetgeving over cybersecurity en heeft als doel: het tot stand brengen van een gemeenschappelijk niveau van cybersecurity in alle lidstaten. NIS is in Nederland ook wel bekend onder de noemer NIB, dat staat voor Netwerk- en Informatiebeveiligingsrichtlijn. Deze richtlijn was toe aan herziening. Onlangs heeft het Europees Parlement de nieuwe NIS2 richtlijn goedgekeurd.
Op dit moment geldt in Europa de NIS1 richtlijn, een wet over cybersecurity voor essentiële organisaties. Aanbieders van Essentiële Diensten (AED’s), zoals energieleveranciers en het openbaar vervoer, moeten onder deze richtlijn maatregelen treffen om netwerk- en informatiesystemen te beveiligen. Zo’n maatregel is bijvoorbeeld het uitvoeren van een risicoanalyse om digitale zwakke punten in de organisatie te achterhalen. De NIS1 geldt sinds 2018 en is inmiddels verouderd. We zijn steeds meer afhankelijk van informatie- en beveiligingsnetwerken. Dit in combinatie met toenemende dreigingen en cyberaanvallen is genoeg reden voor een herziening van de richtlijn. Daarnaast past niet elke lidstaat de wet even strikt toe. Een verscherping van de eisen aan cybersecurity en strengere toezichtsmaatregelen zijn noodzakelijk.
Op 10 november 2022 heeft het Europees Parlement de NIS2 richtlijn goedgekeurd. De NIS2 richtlijn verhoogt de cybersecurity eisen door heel Europa en benoemt meer organisaties als een AED. De herziene richtlijn kent straks twee sectoren: essentiële aanbieders (sector 1) en belangrijke aanbieders (sector 1 en 2). Essentiële aanbieders zijn grote organisaties die meer dan 250 medewerkers én een omzet van meer dan €50 miljoen hebben óf een balanstotaal van €43 miljoen. Daarnaast zijn er specifieke bedrijven aangewezen als essentieel, ongeacht hun grote zoals domeinnaam leveranciers. Voor essentiële aanbieders is het toezicht proactief. Incidenten bij een essentiële aanbieder kunnen namelijk leiden tot ernstige maatschappelijke ontwrichting. Bij belangrijke aanbieders vindt toezicht achteraf plaats (reactief), als er bijvoorbeeld aanwijzingen zijn van een incident. Belangrijke aanbieders zijn middelgrote organisatie met tussen de 50 en 250 medewerkers én een jaaromzet tot €50 miljoen óf een balanstotaal tot €43 miljoen. Een verstoring zal geen zeer ernstige maatschappelijke of economische gevolgen hebben. Alle aanbieders die onder de herziene richtlijn gaan vallen moeten een risicobeoordeling uitvoeren en passende veiligheidsmaatregelen gaan treffen. Dit wordt ook wel de ‘zorgplicht’ genoemd. Het verhogen van de beveiliging van de toeleveringsketen of het op orde brengen van de wijze van afhandeling van cyberincidenten, zijn voorbeelden van veiligheidsmaatregelen. De NIS2 richt zich op de gehele toeleveringsketen, dus ook organisaties die losstaand niet zijn te typeren als essentieel maar wel zaken doen met essentiële aanbieders, krijgen te maken met de nieuwe richtlijn.
Op 27 december 2022 is de NIS2-richtlijn gepubliceerd in de Official Journal van de Europese Unie. De Europese lidstaten hebben vanaf januari 2023 in totaal 21 maanden de tijd om de richtlijn om te zetten in nieuwe of bestaande wet- en regelgeving. In Nederland wordt hiervoor de Wet Beveiliging Netwerk- en Informatiesystemen (WBni) aangepast. Het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft in een webinar van de NEN aangegeven dat deze wet ook gaat gelden voor alle grote zorginstellingen. Dit was voorheen nog niet het geval. Een zorginstelling is groot wanneer zij meer dan 50 FTE en/of een omzet van 10 miljoen euro heeft. Het ministerie van VWS zal tijdens de herziening van de NEN 7510 er op aansturen dat deze wetten en normen elkaar niet bijten.
Naar verwachting treedt de wet eind 2024 in werking. Organisaties die onder de NIS2-richtlijn vallen moeten vanaf het moment van inwerkingtreding voldoen aan de zorg- en meldplicht. Wij raden aan dat organisaties zich alvast gaan voorbereiden op hun zorgplicht. Dit kan onder andere door het in kaart brengen van de cyberrisico’s, het opstellen van een bedrijfscontinuïteitplan, het identificeren van alternatieve toeleveringsketens, het opzetten van een bewustwordingsprogramma voor medewerkers en het treffen van maatregelen die de veiligheid en weerbaarheid van processen en diensten verbeteren.
Wil jouw organisatie alvast aan de slag met de voorbereiding op de NIS2-richtlijn? Onze cyber security specialisten helpen je graag! Neem contact op en we vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!
Bronnen: Rijksoverheid, Europees Parlement, Kamer van Koophandel, Nationaal Cyber Security Centrum