Wat is de nieuwe NIS2-richtlijn en voor wie is deze van belang?
Je opent een mail en zonder dat je er erg in hebt gooi je de persoonsgegevens van duizenden klanten op straat… Je bent slachtoffer geworden van een cyberaanval en je moet er niet aan denken dat het je overkomt, maar het gebeurt helaas steeds vaker. Omdat het een groter, internationaal probleem betreft, wordt er vanuit de Europese Unie, aan een oplossing voor het probleem gewerkt.
Wat is de nieuwe NIS2-richtlijn en voor wie is deze van belang?
Uit onderzoek blijkt dat het aantal cyberaanvallen in de publieke sector in 2023 met 40% gestegen is in slechts één kwartaal. Een zorgwekkende ontwikkeling die de Europese Unie niet ontgaan is. Het internationale bestuursorgaan heeft achter de schermen gewerkt aan een vernieuwing van de richtlijn voor de veiligheid van Netwerk- en Informatie Systemen (NIS): de NIS2 richtlijn. Deze zal per 17 oktober 2024 in werking treden. Hieronder lees je wat deze richtlijn precies inhoudt, voor wie deze bedoeld is, en wat je ermee moet doen als de richtlijn op jouw organisatie betrekking heeft.
NIS vs NIS2: wat is anders?
Hoewel de eerste cybercrimineel al in 1981 veroordeeld werd, nam cybercriminaliteit zo’n tien jaar geleden pas écht een vlucht. In 2016 introduceerde de EU met de Directive on Security of Network and Information Systems (NIS), waarmee de eerste wetgeving rondom cybersecurity een feit werd. In Nederland is deze eerste variant van de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In deze richtlijn worden strenge eisen gesteld op het gebied van cybersecurity voor de zogenoemde ‘essentiële bedrijven’. En juist dát gaat veranderen in de nieuwe, aangepaste variant – de NIS2-richtlijn.
De NIS2-richtlijn is dus eigenlijk de vernieuwe wetgeving op het gebied van cyberbeveiliging. De richtlijn biedt een kader en bijbehorende wettelijke maatregelen om het niveau van cyberbeveiliging in de EU, en in de afzonderlijke lidstaten, te verhogen. De NIS2-richtlijn is als het ware een verdieping van de huidige NIS-richtlijn, maar is daarnaast uitgebreid meteen aantal toevoegingen waarin de oorspronkelijke NIS-richtlijn nog niet voorziet.
Voor wie geldt de NIS2-richtlijn?
De nieuwe NIS2-richtlijn zal voor veel meer sectoren, en dus voor véél meer bedrijven en organisaties, gaan gelden dan de huidige NIS. Zo geldt de NIS2-richtlijn niet alleen voor essentiële bedrijven, maar ook voor belangrijke bedrijven. Met deze aanpassing wil de EU ervoor zorgen dat alle organisaties die een belangrijke functie in de samenleving vervullen, door deze richtlijn gedekt worden. Denk bijvoorbeeld aan bedrijven in sectoren als voedselproductie, afvalbeheer, vervoer, financiën, drinkwater, en de maakindustrie, maar ook aan bedrijven die een belangrijke rol spelen bij de infrastructuur van het internet, post-en koeriersdiensten, de chemische sector, en digitale aanbieders zoals marktplaatsen.
Duidelijk is dat meer middelgrote en grote bedrijven zich vanaf de geplande invoering in oktober aan de vernieuwde richtlijn zullen moeten gaan houden. Daarnaast heeft de overheid de mogelijkheid ook kleinere bedrijven met een hoog veiligheidsrisico aan te wijzen als bedrijven waarop de richtlijn betrekking heeft. Ook die bedrijven zullen zich dan aan de nieuwe regelgeving moeten houden.
Twijfel je of de nieuwe richtlijn ook op jouw bedrijf van toepassing is? Via de NIS2 Zelfevaluatie NL tool van de Rijksoverheid kun je controleren of jouw bedrijf zich ook aan de nieuwe regelgeving zal moeten conformeren.
Wat betekent de NIS2-richtlijn?
Met de nieuwe NIS2-richtlijn voert de EU een aantal verplichte maatregelen in om de cybersecurity te verbeteren:
Het implementeren van een risicobeheerproces: risicobeheer is onderdeel van het kwaliteitsmanagement van je organisatie. Als organisatie dien je op de hoogte te zijn van de risico’s waaraan je blootstaat. Cyberrisico’s moeten dan ook worden geïdentificeerd en aangepakt.
Het opstellen van een plan voor incidentresponse: dit zorgt voor waarborging van de bedrijfscontinuïteit ten tijde van een cyberaanval. Zo wordt er verwacht dat er een plan klaarligt dat in werking zal treden wanneer er sprake is van een incident. Denk hierbij aan het herstel van systemen, noodprocedures, en het inrichten van een crisisorganisatie.
Het delen van informatie over cyberbeveiligingsincidenten: de nieuwe NIS2-richtlijn eist dat je je organisatieprocessen dusdanig ingericht hebt, dat er bij een cyberaanval snel een correcte rapportage gedaan kan worden aan de autoriteiten. Zo bestaat onder meer de harde eis dat grote incidenten binnen 24 uur gemeld worden.
Neem de tijd om te ontdekken wat je moet doen om aan de nieuwe NIS2-richtlijn te voldoen
Boete voor het niet voldoen aan NIS2?
Een andere belangrijke toevoeging aan de NIS2-richtlijn is de proactieve controle. Als een essentiële organisatie doe je er verstandig aan je voor te bereiden op proactieve controles. Voldoe je niet, dan riskeer je een boete van maximaal 10 miljoen euro.
Het is belangrijk om je te realiseren dat de overheid je niet laat weten of de NIS2-richtlijn op jouw bedrijf van toepassing is. Je zult dit dus zelf goed moeten checken door de NIS2 zelfevaluatie secuur uit te voeren.
NIS2: hoe kan ik me voorbereiden?
Hoewel oktober nog niet direct voor de deur staat, is het wel verstandig om nu alvast de nodige voorbereidingen te treffen. Om te beginnen is het goed om een risicoanalyse te maken. Deze bestaat uit drie stappen: het identificeren van de bestaande risico’s (1), de evaluatie van deze risico’s (2) waarin je beschrijft hoe groot de kans is dat een bepaald risico zich voordoet en wat de impact hiervan is. Tot slot zet je een actieplan op (3) om de in kaart gebrachte risico’s zo veel en zo goed mogelijk te beheersen.
Andere acties die je nu alvast kunt ondernemen:
Check of de nieuwe richtlijn voor jou van toepassing is
– Bepaal welke maatregelen nodig zijn om aan de vereisten van de richtlijn te voldoen
– Inventariseer welke netwerk- en informatiesystemen gebruikt worden binnen jouw organisatie
– Verhoog het bewustzijn van het personeel omtrent cybersecurity en cyberrisico’s
– Budgetteer de mogelijke maatregelen zodat je niet ineens verrast wordt door de kosten van de implementatie.