Network and Information Systems 2 (NIS2)
De term ‘Network and Information Systems‘ (NIS) is al langere tijd bekend binnen de IT-wereld: de NIS bestaat sinds 2012 en heeft in Nederland geleid tot de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). NIS heeft het doel om een effectief cybersecuritybeleid binnen de EU te ontwikkelen, om het algemene niveau van cyberbeveiliging in de EU te verhogen. Oorspronkelijk was de WBNI-wet in Nederland alleen van toepassing op vitale sectoren, maar met de introductie van NIS2 worden de sectoren uitgebreid.
NIS2 stond gepland om op 17 oktober 2024 te worden omgezet in nationale wetgeving, maar de Tweede Kamer heeft nu al aangegeven deze deadline niet te gaan halen. “Het blijft echter van belang dat bedrijven en organisaties niet afwachten totdat de nieuwe wet- en regelgeving volledig duidelijk is, maar nu al maatregelen nemen ter bescherming van de continuïteit van hun bedrijfsprocessen,” – aldus D. Yesilgöz-Zegerius, Minister van Justitie en Veiligheid.
NIS2 – wat is het?
Onze (digitale) wereld verandert en de risico’s worden groter; het aanscherpen van de oude NIS-richtlijn komt voort uit recente uitdagingen die betrekking hebben op de maatschappij en economie – denk aan de COVID-19 pandemie, de oorlog in Oekraïne, steeds geavanceerdere cyberdreigingen en de klimaatverandering. Deze ontwikkelingen maken dat de oorspronkelijke NIS-richtlijnen niet langer volstaan én maken het noodzakelijk voor bedrijven en organisaties om na te denken over de beveiliging van hun (informatie)systemen…
Omdat NIS2 zich focust op risico’s die netwerk- en informatiesystemen bedreigen, moet het bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity in bedrijven en organisaties. Dit wordt bereikt door o.a. strengere beveiligingsnormen en meldingsvereisten voor incidenten.
Voor wie is NIS2 van toepassing?
NIS2 vereist dat organisaties, waarvan de dienstverlening cruciaal is voor een groot aantal burgers, gepaste technische en organisatorische maatregelen treffen om hun (informatie)systemen te beveiligen. Zoals eerder vermeld geldt deze richtlijn nu voor een breder scala aan organisaties; van energieleveranciers tot IT-dienstverleners.
De NIS2-richtlijn heeft betrekking op sectoren van de Nationale Coördinatie Terrorisme bestrijding en Veiligheid die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. De richtlijn geldt daarom nu ook voor overheidsinstanties. Sommige overheidsentiteiten, zoals die betrokken bij nationale veiligheid, zijn echter nog steeds uitgesloten.
Check of een organisatie onder de NIS2-richtlijn valt:
Met de vragenlijst van De Rijksinspectie Digitale Infrastructuur (RDI) kunnen organisaties zelf zien of ze onder de NIS2-richtlijn vallen. Hiermee wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of economie. Je kunt de vragenlijst hier vinden en invullen.
Hoe bereid je jouw organisatie – en die van jouw klanten – voor op NIS2?
Volgens de NIS2-richtlijnen zijn er verschillende stappen die organisaties moeten ondernemen om hun cybersecurity te verbeteren:
1. Zorgplicht
Bedrijven en organisaties moeten zelf hun risico’s beoordelen en passende maatregelen nemen om hun diensten en informatie te beschermen. Het is belangrijk om eerst het bestaande beveiligingsbeleid en de huidige maatregelen te evalueren. Organisaties moeten mogelijke risico’s identificeren en nadenken over zaken als de locatie van hun informatie, wie verantwoordelijk is voor de beveiliging, en wie geïnformeerd moet worden bij een incident.
Een meerlaags securitybeleid is essentieel. Dit kan met securitysoftware, detectie en respons op endpoints, netwerken en monitoring, e-mailbeveiligingsgateways, firewalls, backups, biometrische beveiliging en MFA. De invulling van een sterk securitybeleid hangt af van de organisatie en de IT-infrastructuur. Regelmatige tests en evaluaties zijn nodig om de effectiviteit van de maatregelen te waarborgen en inzicht te krijgen in eventuele ontbrekende aspecten.
2. Verplicht Incident Response Plan
NIS2 vereist dat organisaties een Incident Response Plan hebben. Dit plan bereidt de organisatie voor op crisissituaties en beschrijft de te ondernemen stappen. Het helpt kosten te besparen, herstelwerkzaamheden te minimaliseren en rust te creëren in tijden van chaos.
Het testen, evalueren en aanpassen van het beveiligingsplan is cruciaal om de effectiviteit ervan te waarborgen. Organisaties dienen basismaatregelen te nemen zoals het opstellen van beveiligingsbeleid en -procedures, het uitvoeren van risicoanalyses, het monitoren van netwerken en systemen, en het implementeren van passende beveiligingsmaatregelen. Als een organisatie moeite heeft met het simuleren van een noodsituatie, zijn er externe bedrijven die kunnen helpen bij het uitvoeren van een audit.
3. Meldplicht
Als er een ernstig incident plaatsvindt, moet dit binnen 24 uur gemeld worden. Dit is belangrijk om snel hulp te krijgen en de impact te beperken. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden.
Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door het incident geraakt is, de tijdsduur van een verstoring en de mogelijke (financiële) verliezen.
4. Bereid je team voor
Het trainen van werknemers in cyberbeveiligingsbewustzijn belangrijk, omdat zij toegang hebben tot gevoelige bedrijfsinformatie en dagelijks gebruikmaken van het bedrijfsnetwerk.
5. Toezicht
Er zal onafhankelijk toezicht zijn op de naleving van bovengenoemde richtlijnen. Hoe dit precies wordt ingevuld, is nog in ontwikkeling.
Door NIS2 worden organisaties gestimuleerd om proactief te zijn in hun beveiligingsplanning, om zo paniek te voorkomen, snel te kunnen handelen en de schade te beperken. NIS2 is dus een stap voorwaarts in het verbeteren van de digitale veiligheid in Europa. Feit is dat jouw klanten, ook al zijn ze nu nog niet verplicht om aan de NIS2 richtlijnen te voldoen, baat hebben bij het naleven ervan. Bestaande wetten en regelgeving voor informatie- en databeveiliging, waaronder de Baseline Informatiebeveiliging Overheid (BIO), vormen de basis van de zorg- en meldplicht die uit NIS2 volgt. Het volgen van deze huidige regels is dus een belangrijk startpunt.