Acht dingen die je moet weten over NIS2

NIS2 is gericht op het harmoniseren van cyberveiligheid bij alle Europese organisaties binnen de vitale sectoren en het scheppen van een basiskader voor de gehele ‘vitale sector’. Het verhogen van de weerbaarheid van Europese instellingen is cruciaal door de toename van het aantal cyberaanvallen en cyberdreigingen vanuit criminele organisaties en andere kwaadwillenden.

Ja. NIS2 is verplicht voor alle middelgrote en grote organisaties binnen de vitale sectoren binnen de EU. Het is een Europese richtlijn waarvan EU-lidstaten tot 17 oktober 2024 hebben om deze op te nemen in nationale wetgeving. Het is inmiddels duidelijk dat Nederland deze deadline niet gaat halen. De minister van Justitie heeft uitgesproken dat het streven nog wel is om dit najaar het parlement een wet aan te kunnen bieden. Het uitstellen betekent echter niet dat organisaties moeten wachten met implementatie.

De volgende sectoren vallen onder de NIS2:

De zorgplicht onder de NIS2 stelt dat de organisaties zelf risicobeoordelingen uitvoeren en passende maatregelen moeten nemen om risico's te beheersen, om incidenten te voorkomen, maar ook in staat te zijn snel en goed te acteren indien een incident alsnog optreedt. Dit kunnen de organisaties doen door eerst hun kritieke bedrijfsprocessen/systemen te inventariseren en hier vervolgens risicoanalyses op uit te voeren.

De meldplicht onder de NIS2 houdt in dat de instellingen binnen 24 uur waarschuwing van een significant incident geven aan hun toezichthouder. Een significant incident wordt in de NIS2 gedefinieerd als een incident dat een aanzienlijk gevolg heeft voor de verlening van de diensten. Het is voor elke instelling uniek wat een ‘aanzienlijk’ gevolg is. Wel biedt de NIS2 de instellingen de volgende criteria om te bepalen of een incident aanzienlijke gevolgen heeft:

• de mate van operationele verstoring van de diensten of financiële verliezen voor de organisatie;
• het aantal getroffen gebruikers;
• de tijdsduur van het incident;
• de geografische reikwijdte van het incident.

Daarnaast moet de instelling binnen 72 uur een incidentmelding indienen bij haar toezichthouder. Uiterlijk na één maand levert de instelling dan een eindverslag op met minimaal de volgende punten van het incident:

• gedetailleerde beschrijving incident (ernst/gevolgen);
• grondoorzaak;
• risicobeperkende maatregelen;
• eventueel grensoverschrijdende gevolgen.

De NIS2 is bedoeld om organisaties te helpen om bestand te zijn tegen de toenemende cyberrisico's en de bedrijfsvoering van organisaties te beschermen. Voldoen aan de NIS2 is daarmee eigenlijk iets wat organisaties zelf zouden moeten willen. Immers, als organisatie heb je zelf de intrinsieke motivatie om maatschappelijke of commerciële doelen te halen, goed om te gaan met informatie van medewerkers, burgers, klanten, ketenpartners. Vanuit zorg en respect voor jouw doelgroepen dan wel je eigen reputatie. Daarnaast is niets doen aan NIS2 geen reële optie. De toezichthouder kan verschillende sancties opleggen aan organisaties die niet voldoen aan de richtlijn, zoals het geven van geldboetes en het hoofdelijk aansprakelijk stellen van én het tijdelijk ontheffen uit functie van directieleden.

Voor de hoogte van de sancties wordt onder andere gekeken naar de volgende criteria:

• niet voldoen aan zorgplicht;
• niet voldoen aan meldplicht;
• ernst van inbreuk;
• de duur/herhaling van de inbreuk;
• veroorzaakte schade;
• opzet of nalatigheid.

Voor de organisaties die onder de NIS2-richtlijn vallen, legt de richtlijn risicobeheer- en rapportageverplichtingen op. Aangezien de richtlijn nog moet worden vertaald naar nationale wetgeving, heerst er op dit moment nog wat onduidelijkheid over de specifieke verplichtingen waarmee deze organisaties te maken krijgen. Wel wordt er expliciet verwezen naar het gebruiken van bestaande standaarden voor toezicht. Dit betekent echter niet dat bij, bijvoorbeeld ISO27001 of BIO compliance organisaties automatisch voldoen aan NIS2. In een volgend blog gaan we verder in op de specifieke verplichtingen waarmee organisaties te maken krijgen én wat organisaties nog extra moeten doen voor NIS2 als zij al voldoen aan de ISO27001 of aan de BIO.

Daarnaast eist NIS2 onder artikel 21 een aantal maatregelen die organisaties minimaal moeten inrichten.

• Beleid en procedures voor het meten van de effectiviteit van cyberbeveiliging (ISMS). Een specifieke uitwerking hierbinnen is het hebben van een informatiebeveiligingsbeleid voor zowel IT als OT.
• Er dient een proces ingericht te zijn voor risicomanagement.
• Het opzetten van bewustwordingscampagnes en security awareness training voor al het personeel (ook voor bestuurders). Daarbij is er specifieke aandacht voor phishingcampagnes.
• Beveiliging van de continuïteit van de bedrijfsvoering door hiervoor beleid en/of procedures in te richten.
• Identiteit- en Toegangsbeheer + MFA (multifactor authenticatie) of continue authenticatie: autorisatieregels die bepalen wie welke toegang heeft tot welke applicatie/data en het met aanvullende zekerheid vaststellen welke identiteit het betreft.
• Beveiliging van de toeleveringsketen, met name (toe)leveranciers in beeld hebben en hier afspraken mee maken over de beveiliging van hun dienstverlening.
• Monitoring: weten wie er op je netwerk, systemen en applicaties zit.
• Software updates en patching: kwetsbaarheden wegnemen.
• Encryptie: gegevens tijdens transport en bij opslag beveiligen tegen ongeautoriseerde inzage of wijziging.
• Een beleid of proces hebben voor incident respons, mogelijk aangevuld met SIEM/SOC.

NIS2 eist directe betrokkenheid van de bestuurder voor informatiebeveiliging. Meer dan in voorgaande wetgeving is vastgelegd. Het bestuur dient nauw betrokken te zijn op thema’s zoals business continuïteit, risicomanagement en derde partijen management. Daarnaast dienen bestuurders aantoonbaar trainingen/opleidingen voor informatiebeveiliging te volgen. Bestuurders moeten op de hoogte zijn van NIS2 en wat deze vraagt van de organisatie. Enkel per memo informeren van het bestuur is onder NIS2 niet meer voldoende.

Hoe het toezicht er in de praktijk uit gaat zien wordt nog uitgewerkt. Wel is bekend dat per sector een toezichthouder wordt aangewezen om toezicht te houden op deze specifieke sector. De organisaties binnen de vitale sector zijn opgesplitst in zogeheten ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. 

Essentiële entiteiten zijn organisaties met minimaal 250 werknemers of een jaaromzet van €50 miljoen of meer en een balanstotaal van meer dan €43 miljoen. Belangrijke entiteiten zijn organisaties met minimaal 50 werknemers of een jaaromzet en balanstotaal van €10 miljoen of meer.

Het verschil tussen essentiële en belangrijke entiteiten is dat een verstoring van de dienstverlening bij essentiële entiteiten doorgaans leidt tot een grotere ontwrichting op onze economie en samenleving, dan een verstoring bij belangrijke entiteiten.

De manier van toezichthouden verschilt voor de essentiële entiteiten ten opzichte van belangrijke entiteiten, de eisen waar zij aan moeten voldoen verschillen niet van elkaar.

Bij essentiële entiteiten werken toezichthouders proactief, waarbij de toezichthouder periodiek komt controleren of de richtlijn wordt gevolgd. Bij belangrijke entiteiten gaan toezichthouders reactief te werk, waarbij controle pas volgt als er een incident heeft plaatsgevonden bij de instelling.

Neem dan contact met op met: Nino van Leeuwen of Shankar Sahtie.