19/12/2023

De NIS2 komt eraan: wat moet je weten?

In het licht van groeiende cyberdreigingen en geopolitieke conflicten en spanningen (de slepende oorlog tussen Rusland en Oekraïne, spionage- en hackactiviteiten van China, Iran, Rusland en Noord-Korea), wil de Europese Unie gericht werken aan het verbeteren van de digitale en economische weerbaarheid van de lidstaten.

De Network and Information Security Directive (NIS) 2 is een richtlijn die een belangrijke bijdrage moet leveren aan dit doel. De eerste versie (NIS1) werd in 2016 geïntroduceerd. In mei 2022 ging de Europese Commissie akkoord met een nieuwe versie van de richtlijn, NIS2. Maar wat houdt de NIS2 precies in? Wat zijn de verschillen met de NIS1? En wat betekent de nieuwe regelgeving voor jouw organisatie? Lees er alles over in dit blogartikel.

Hoe verschilt de NIS2 van de NIS1?

De NIS2-richtlijn focust zich op de risico’s voor netwerk- en informatiesystemen van organisaties die essentiële functies of diensten voor de samenleving leveren. Denk bijvoorbeeld aan energieleveranciers, waterbedrijven en netwerkbeheerders. Het belangrijkste verschil met de NIS1 is dat de nieuwe richtlijn de scope verruimt, waardoor veel meer organisaties met de regelgeving te maken krijgen.

De NIS2 richt zich namelijk niet alleen op de directe leveranciers van essentiële diensten en levensbehoeften, maar ook op het gros van de andere organisaties die deel uitmaken van dezelfde ketens. Die luisteren in de tekst van de richtlijn naar de naam 'essentiële entiteiten’.  Ook de maakindustrie voor kritische producten (denk aan levensmiddelen), IT-dienstverleners, post- en koeriersdiensten, overheidsinstellingen en zorgverleners krijgen vanaf 2024 dus te maken met NIS-richtlijnen.

Wat houdt de NIS2 in?

De NIS2-richtlijn herbergt diverse aanbevelingen en maatregelen voor het verbeteren van de cyberveiligheid en het melden van cyberincidenten. De aanbevelingen zijn onder te verdelen in een aantal categorieën die we kort zullen toelichten.

Lees ook de blog: Cybersecurity is inmiddels een agendapunt voor iedere organisatie.

Risico-eigenaarschap

De NIS2 verplicht het bestuur of de directie van een organisatie om een actieve rol te spelen bij het naleven van alle vereisten op het gebied van digitale risicobeheersing. Het bestuur moet beveiligingsmaatregelen tot uitvoer brengen en kritisch toezicht houden op de naleving ervan. Kwijt het bestuur zich niet van die taak? Dan kan het persoonlijk aansprakelijk worden gesteld voor geleden schade door datalekken of cyberaanvallen.

Beveiligingsvereisten

Artikel 21 van de NIS2 bevat een lijst met cruciale maatregelen (bedrijfscontinuïteit, het behandelen van incidenten, crisisbeheer, encryptie, cyberhygiëne) voor het deugdelijk beheren van cyberbeveiligingsrisico’s. Essentiële entiteiten moeten die treffen om hun netwerk- en informatiesystemen te beschermen.

Het melden van incidenten

Krijgt een essentiële organisatie te maken met een significant incident? Dan moet ze volgens de NIS2 binnen 24 uur een waarschuwing geven aan het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit. Daarnaast dienen organisaties het incident binnen 72 uur te melden.

Het beveiligen van de toeleveringsketen

De NIS2 ruimt ook een belangrijke plek in voor het beveiligen van de complete toeleveringsketen waar essentiële entiteiten deel van uitmaken. Je moet als organisatie dus ook nauwkeurig en kritisch kijken naar de samenwerking met leveranciers en dienstverleners. Hebben deze partijen hun cyberbeveiliging op orde? Of bevatten hun systemen, werkwijzen en processen kwetsbaarheden op het vlak van netwerk- en informatiebeheer?

Van richtlijn naar wet

De NIS2 is een richtlijn die momenteel omgezet wordt naar nationale en lokale wetgeving. Regeringen van EU-lidstaten moeten dit proces voor 24 maart 2024 afronden. De Nederlandse overheid legt momenteel de laatste hand aan de conceptwetteksten waarop sectoren en organisaties in 2024 kunnen reageren. Komend voorjaar zullen als essentieel aangemerkte bedrijven hoogstwaarschijnlijk te maken gaan krijgen met de bepalingen uit de NIS2-richtlijn.

Jouw organisatie voorbereiden op NIS2

De overheid adviseert organisaties om niet te wachten op de definitieve wetteksten, maar nu al grondige voorbereidingen te treffen voor de nieuwe NIS-realiteit. Cyberrisico’s zijn er immers nu ook al. Alvast anticiperen op de toekomst verkleint bovendien de kans dat je straks voor verrassingen komt te staan en jouw netwerk- en informatiebeveiliging halsoverkop moet aanscherpen.

Een goede voorbereiding op de komst van de NIS2 vraagt om een aantal maatregelen en stappen. We zetten de belangrijkste to do’s op een rij.

Risicoanalyse en -beoordeling

Maak een goede risicoanalyse en -beoordeling. Wat zijn de fysieke en digitale risico’s die de dienstverlening en continuïteit van je organisatie kunnen bedreigen? Hoe groot is de waarschijnlijkheid dat een bepaald risico of incident jou treft? Het indelen van risico’s in verschillende categorieën (groot, gemiddeld, klein) helpt je om dit in kaart te brengen.

Vind kwetsbaarheden en neem gerichte maatregelen

Je weet nu wat de risico’s zijn. Vervolgens is het zaak om na te gaan of jouw organisatie bestand is tegen die risico’s. Zijn je cybersecurity en netwerk- en informatiebeveiliging robuust en volwassen genoeg om te voldoen aan de eisen die de NIS2-richtlijn stelt? Neem gerichte maatregelen (betere securitytools, een meer rigide databeveiliging, strenger toegangs- en identiteitsmanagement) als je kwetsbaarheden vindt.

Lees ook de blog: Intrusion detection en intrusion prevention systems: wat zijn het en wat heb je eraan?

Het is van essentieel belang om vóór het in werking treden van de NIS2-richtlijn goede procedures te hebben die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden. Vergeet ook niet om ook buiten je eigen bedrijfsmuren te kijken en na te gaan of ketenpartners hun digitale veiligheidszaken op orde hebben.

Je organisatie klaarstomen voor de NIS2?

Wil je jouw organisatie klaarstomen voor de inwerkingtreding van de NIS2-richtlijn? Dan staan wij je graag bij met praktische tips en goede continuïteitsregelingen. Met onze Developers en Business Edition weet je zeker dat je ook bij een faillissement van je SaaS-leverancier gebruik kunt blijven maken van bedrijfskritische applicaties. Bovendien bieden de regelingen een goede bescherming tegen datalekken.

Onze diensten, zoals managed clouds, Kubernetes, CI/CD en OTAP, zijn ontworpen en ingericht vanuit het principe security by design en maken gebruik van uitgebreide monitoring en logging. Reken dus op diensten die voldoen aan de eisen die de NIS2 stelt aan cyberveiligheid!

Deel deze post
Marijn Lergner
Marijn is Lead Engineer en tevens Partner bij ACC ICT. Marijn is vanaf 2010 werkzaam bij ACC ICT in verschillende rollen en begeleidt met veel enthousiasme en precisie zeer technische en complexe klantprojecten. Marijn schrijft graag over technische onderwerpen binnen de IT-branche.