December 19, 2023

De NIS2 komt eraan: wat moet je weten?

In het licht van groeiende cyberdreigingen en geopolitieke spanningen – denk aan de oorlog tussen Rusland en Oekraïne, spionage- en hackactiviteiten vanuit China, Iran, Rusland en Noord-Korea – werkt de Europese Unie gericht aan het versterken van de digitale en economische weerbaarheid van de lidstaten. De Network and Information Security Directive (NIS2) is een richtlijn die een belangrijke bijdrage moet leveren aan dit doel. De oorspronkelijke versie, NIS1, werd in 2016 ingevoerd. In mei 2022 stemde de Europese Commissie in met de vernieuwde NIS2-richtlijn. Maar wat houdt NIS2 precies in? Wat zijn de verschillen met NIS1? En wat betekent deze nieuwe regelgeving voor jouw organisatie? In dit artikel geven we de antwoorden.

Hoe verschilt de NIS2 van de NIS1?

De NIS2-richtlijn richt zich op de risico’s voor netwerk- en informatiesystemen van organisaties die essentiële diensten voor de samenleving leveren, zoals energieleveranciers en waterbedrijven. De belangrijkste wijziging ten opzichte van de NIS1 is dat NIS2 een bredere scope heeft, waardoor veel meer organisaties met de regelgeving te maken krijgen.

De NIS2-richtlijn omvat nu ook bedrijven in kritieke sectoren zoals de IT-dienstverlening, de maakindustrie, overheidsinstellingen en zorgverleners. Dit betekent dat vanaf 2024 ook organisaties die deel uitmaken van de bredere toeleveringsketen, zoals IT-dienstverleners en leveranciers van essentiële producten, moeten voldoen aan de nieuwe regelgeving. Dit heeft invloed op jouw bedrijfsvoering als je bijvoorbeeld diensten levert aan essentiële entiteiten.

Wat houdt de NIS2 in?

De NIS2-richtlijn biedt een reeks maatregelen en aanbevelingen voor het verbeteren van cyberveiligheid en het melden van incidenten. Hieronder een aantal belangrijke aspecten.

Lees ook de blog: Cybersecurity is inmiddels een agendapunt voor iedere organisatie.

Risico-eigenaarschap

De NIS2 verplicht het bestuur of de directie van een organisatie om een actieve rol te spelen bij het naleven van alle vereisten op het gebied van digitale risicobeheersing. Het bestuur moet beveiligingsmaatregelen tot uitvoer brengen en kritisch toezicht houden op de naleving ervan. Kwijt het bestuur zich niet van die taak? Dan kan het persoonlijk aansprakelijk worden gesteld voor geleden schade door datalekken of cyberaanvallen.

Beveiligingsvereisten

Artikel 21 van de NIS2-richtlijn bevat een lijst met maatregelen die essentieel zijn voor het beheer van cyberrisico’s. Denk hierbij aan bedrijfscontinuïteit, incidentbeheer, crisismanagement en encryptie. Organisaties moeten deze maatregelen implementeren om hun netwerk- en informatiesystemen te beschermen tegen cyberaanvallen.

Een effectieve implementatie van deze beveiligingsmaatregelen vraagt om een geavanceerde infrastructuur. ACC ICT kan hierbij ondersteunen met Managed Cloud en Managed Kubernetes, die ontworpen zijn volgens het principe van security by design. Door deze maatregelen te integreren in jouw IT-omgeving, verbeter je de weerbaarheid tegen digitale bedreigingen en voldoe je aan de NIS2-vereisten.

Het melden van incidenten

Krijgt een essentiële organisatie te maken met een significant incident? Dan moet ze volgens de NIS2 binnen 24 uur een waarschuwing geven aan het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit. Daarnaast dienen organisaties het incident binnen 72 uur te melden.

Het beveiligen van de toeleveringsketen

De NIS2-richtlijn benadrukt het belang van de veiligheid van de volledige toeleveringsketen. Dit betekent dat jouw organisatie ook moet controleren of de leveranciers en dienstverleners waarmee je samenwerkt, hun cybersecurity op orde hebben. Dit kan inhouden dat je extra maatregelen moet treffen om de risico's in de keten te minimaliseren.

Het implementeren van continuïteitsregelingen die ook ketenpartners omvatten, is een goede manier om risico's in de toeleveringsketen te beheren. Wij bieden continuïteitsoplossingen die helpen om niet alleen je eigen organisatie, maar ook de complete supply chain te beschermen tegen digitale bedreigingen.

Van richtlijn naar wet

Hoewel de NIS2 momenteel een richtlijn is, moeten lidstaten deze voor 24 maart 2024 omzetten in nationale wetgeving. De Nederlandse overheid is al bezig met de voorbereidingen en hoogstwaarschijnlijk krijgen essentiële bedrijven en toeleveranciers vanaf het voorjaar van 2024 te maken met de bepalingen uit de NIS2-richtlijn.

Hoe bereid je jouw organisatie voor op NIS2?

De overheid adviseert organisaties om nu al te beginnen met voorbereidingen voor NIS2, zodat je niet voor verrassingen komt te staan wanneer de wetgeving van kracht wordt. Hier zijn enkele belangrijke stappen die je kunt nemen om je voor te bereiden:

Risicoanalyse en -beoordeling

Begin met een grondige risicoanalyse. Breng in kaart welke fysieke en digitale risico’s de continuïteit van jouw organisatie bedreigen. Hoe groot is de kans dat een bepaald risico werkelijkheid wordt? Dit helpt je om de impact van verschillende dreigingen te begrijpen en om prioriteiten te stellen voor de maatregelen die nodig zijn.

Kwetsbaarheden vinden en gerichte maatregelen nemen

Je weet nu wat de risico’s zijn. Vervolgens is het zaak om na te gaan of jouw organisatie bestand is tegen die risico’s. Zijn je cybersecurity en netwerk- en informatiebeveiliging robuust en volwassen genoeg om te voldoen aan de eisen die de NIS2-richtlijn stelt? Neem gerichte maatregelen (betere securitytools, een meer rigide databeveiliging, strenger toegangs- en identiteitsmanagement) als je kwetsbaarheden vindt.

Lees ook de blog: Intrusion detection en intrusion prevention systems: wat zijn het en wat heb je eraan?

Het is van essentieel belang om vóór het in werking treden van de NIS2-richtlijn goede procedures te hebben die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden. Vergeet ook niet om ook buiten je eigen bedrijfsmuren te kijken en na te gaan of ketenpartners hun digitale veiligheidszaken op orde hebben.

Zorg voor detectie- en meldingsprocedures

Het is van cruciaal belang om goede procedures te hebben voor het detecteren, monitoren en melden van incidenten die je bedrijfsprocessen verstoren. Vergeet niet om ook buiten je eigen organisatie te kijken en na te gaan of je ketenpartners hun digitale veiligheid op orde hebben.

Je organisatie klaarstomen voor de NIS2?

De NIS2-richtlijn brengt nieuwe verantwoordelijkheden en verplichtingen met zich mee voor organisaties in kritieke sectoren. Of je nu deel uitmaakt van een essentiële dienst of indirect betrokken bent bij de toeleveringsketen, het is belangrijk om je nu al voor te bereiden. ACC ICT biedt de expertise en oplossingen die je nodig hebt om te voldoen aan de NIS2-eisen, van security by design tot uitgebreide continuïteitsregelingen.

Onze managed diensten, zoals public cloud, private cloud, Managed Kubernetes, CI/CD en OTAP, zijn ontworpen en ingericht vanuit het principe security by design en maken gebruik van uitgebreide monitoring en logging. Reken dus op diensten die voldoen aan de eisen die de NIS2 stelt aan cyberveiligheid! Wil je meer weten over onze diensten? Neem gerust contact met ons op.

Deel deze post
Marijn Lergner
Marijn is Lead Engineer en tevens Partner bij ACC ICT. Marijn is vanaf 2010 werkzaam bij ACC ICT in verschillende rollen en begeleidt met veel enthousiasme en precisie zeer technische en complexe klantprojecten. Marijn schrijft graag over technische onderwerpen binnen de IT-branche.