NIS2
De belangrijkste topics op één pagina overzichtelijk weergegeven
Blijf altijd op de hoogte van de meest recente NIS2-updates via deze pagina. Daarnaast hebben we eveneens een handig overzicht voor u samengesteld. Met deze gratis NIS2-infographic heeft u de belangrijkste key-points altijd bij de hand.
De wetgeving focust op:
Toepassingsgebied van NIS2: sectoren en organisaties van vitaal belang
NIS richtte zich op de gezondheidszorg, vervoer, bankwezen en financiële marktinfrastructuur, digitale infrastructuur, watervoorziening, energie en digitale dienstverleners.
NIS2 heeft een veel bredere reikwijdte en is van toepassing op sectoren en organisaties die van vitaal belang zijn voor de maatschappij:
- Aanbieders van telecomdiensten en energievoorziening.
- Beheerders van spoorweginfrastructuur.
- Afval- en waterbeheerbedrijven.
- Financiële dienstverleners.
- Post- en koeriersdiensten.
- Fabrikanten van medische hulpmiddelen.
- Overheidsdiensten.
Voor deze sectoren en organisaties is het noodzakelijk om te voldoen aan de vereisten en verplichtingen van de NIS2-richtlijn, met als doel de cybersecurity te versterken en de bescherming tegen cyberdreigingen te verbeteren.
NIS2: De Nieuwe Europese Richtlijn voor Netwerk- en Informatiebeveiliging
NIS2 is de afkorting voor Network & Information Systems. NIS2 is de nieuwe Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen die van essentieel belang zijn voor de openbare veiligheid. De voorganger uit 2016 – de NIS – kon de toegenomen cybersecurity gevaren, denk aan ransomware, malware, phishing en DDos-aanvallen onvoldoende het hoofd bieden. Er is de afgelopen jaren hard gewerkt aan de ontwikkeling van NIS2. Belangrijkste verschillen:
- Meer sectoren en bedrijven vallen onder de nieuwe NIS2 richtlijn.
- Strengere toezichts- en sanctiemaatregelen.
- Rapportageverplichtingen tussen lidstaten worden geharmoniseerd.
NIS2 heeft als doel om data zo optimaal mogelijk te beschermen in een maatschappij die een grote digitale transformatie ondergaat en waarbij het dreigingslandschap zich met een ongekende snelheid uitbreidt.
Informatiebulletin NIS2
Verplichtingen vanuit de NIS2-richtlijn: Zorgplicht, Meldplicht en Toezicht
De NIS2-richtlijn legt verschillende verplichtingen op aan entiteiten. Allereerst is er de zorgplicht, waarbij een organisatie een risicobeoordeling moet (laten) uitvoeren. Op basis daarvan moeten er passende maatregelen worden genomen om essentiële diensten te waarborgen en informatie te beschermen.
Daarnaast omvat de richtlijn een meldplicht. Entiteiten moeten incidenten die de essentiële dienstverlening ernstig kunnen verstoren binnen 24 uur melden aan de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand kan verlenen. Criteria voor meldingswaardige incidenten zijn onder andere het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.
Ten slotte worden organisaties die onder de richtlijn vallen, onder toezicht geplaatst. Een onafhankelijke toezichthouder zal de naleving van de verplichtingen, zoals de zorg- en meldplicht controleren. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Gevolgen van NIS2
De NIS2 richtlijn heeft diverse gevolgen voor organisaties. Hieraan zullen ook boetes verbonden worden wanneer men niet aan bepaalde eisen voldoet. NIS2 hanteert 10 basismaatregelen die alle bedrijven moeten aanpakken en implementeren volgens artikel 21 van het NIS-document. Het regelen voor het beheer van cyberbeveiligingsrisico’s:
10 Basismaatregelen NIS2
- Beleid met betrekking tot risicoanalyse en beveiliging van informatiesystemen.
- Incidentenbehandeling.
- Bedrijfscontinuïteit, inclusief back-upbeheer, noodvoorzieningenplannen en crisisbeheer.
- Beveiliging van de toeleveringsketen, inclusief relaties met leveranciers of dienstverleners.
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.
- Beoordeling van de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's.
- Basispraktijken op het gebied van cyberhygiëne en opleiding in cyberbeveiliging.
- Beleid en procedures voor het gebruik van cryptografie en encryptie.
- Beveiligingsaspecten met betrekking tot personeel, toegangsbeleid en beheer van activa.
- Gebruik van multi-factor authenticatieoplossingen of continue authenticatieoplossingen, beveiligde communicatie en noodcommunicatiesystemen.
Sommige maatregelen kunnen mogelijkerwijze al deels worden nageleefd, maar de volgende 3 worden als de grootste uitdagingen beschouwd.
Top 3 Uitdagingen NIS2
- Beleid met betrekking tot risicoanalyse en beveiliging van informatiesystemen.
- Incidentenbehandeling.
- Bedrijfscontinuïteit, inclusief back-upbeheer, noodvoorzieningenplannen en crisisbeheer.
Tijdlijn: van EU-richtlijnen naar nationale wetgeving
Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.
In het najaar van 2023 start een internetconsultatie-periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen. De wetsvoorstellen worden gepubliceerd op internetconsultatie.nl. De exacte datum waarop de consultatie start is nog niet bekend.
Vanaf eind 2024 zullen ministeries per sector organisaties aanwijzen die onder de CER-richtlijn vallen. Wanneer het betrokken ministerie een organisatie aanwijst als kritieke entiteit, dan ontvangt deze organisatie hierover bericht.