Bereid je voor op NIS2
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn die al langere tijd bestaat. Deze is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 is ruimer dan de huidige NIS-richtlijn omdat deze meer sectoren omvat. Daarnaast is de richtlijn strenger over het omgaan met beveiligingsnormen en meldingsvereisten voor incidenten.
De NIS2-richtlijn richt zich op een verbetering van de digitale weerbaarheid van organisaties binnen Europa. Deze richtlijn wordt momenteel in nationale wetgeving omgezet waar verwacht wordt dat dit gedurende 2024 meer concreet gaat worden. De richtlijn stuurt op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s.
In dit artikel
Wat betekent de NIS2-richtlijn voor jouw organisatie?
De NIS2-richtlijn richt zich op de sectoren die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe sectoren. De richtlijn bevat een toelichting over welke sectoren onder de verplichtingen vallen en is gesplitst in 2 niveaus. Essentiële en belangrijke entiteiten. Essentiële entiteiten zijn organisaties die essentiële diensten leveren, zoals energie, water, gezondheidszorg, openbaar bestuur, banken, etc. Overige organisaties zoals digitale dienstverleners en essentiële sociale en economische activiteiten vallen vaak onder belangrijke entiteiten. Daarbij speelt ook de bedrijfsgrootte mee in de afweging.
Met de uitgebreide reikwijdte van NIS2 zijn organisaties in diverse sectoren verplicht om hun digitale veiligheid te verhogen. Afhankelijk van de grootte en het type activiteiten van jouw organisatie, kunnen de vereisten van essentiële of belangrijke entiteiten van toepassing zijn.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
Indien NIS 2 voor jouw organisatie van toepassing is, dan:
- dient jouw organisatie zich te registreren, hetgeen op basis van nationale wetgeving zal worden geconcretiseerd.
- dien je aan de verplichtingen van de Nederlandse wet te voldoen.
Zowel essentiële entiteiten als belangrijke entiteiten dienen aan dezelfde verplichtingen rond Zorgplicht en Meldplicht te voldoen. De wijze van Toezicht verschilt.
- Zorgplicht: De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Zie onder andere Art 20, Art 21.
- Meldplicht: Entiteiten moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldenswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht: Organisaties die onder de richtlijn vallen komen automatisch onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Essentiële entiteiten (Art 3, Art 32) vallen onder een intensiever regime van toezicht; zowel vooraf (ex-ante) als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten (Art 3, Art 33) geldt een lichtere vorm van toezicht dat alleen achteraf (ex-post) plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet of als een incident heeft plaatsgevonden.
Wacht niet af, maar ga nu al aan de slag
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen:
- Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van jouw organisatie kunnen verstoren.
- Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
- Zorg voor procedures die jouw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.
Tools4ever en NIS2
Vanuit Tools4ever houden wij deze wetgeving goed in de gaten. Tools4ever is geclassificeerd als belangrijke entiteit. Omdat wij al ISO27001 gecertificeerd zijn voldoen wij al grotendeels aan de Zorg- en de Meld-plicht.
Deze zorgplicht ondervangen we deels met onze eigen Identity & Access Management oplossing: HelloID. Met HelloID vindt provisioning van accounts en rechten zoveel mogelijk automatisch op basis van least-priviliged plaats vindt. Hiermee zijn iemands digitale identiteit en toegangsrechten altijd in lijn met de informatie zoals geregistreerd in het HR systeem. Dankzij een rechtstreeks koppeling tussen dat HR systeem en HelloID ontvangt de nieuwe medewerker bij onboarding direct een gebruikersaccount met daaraan gekoppeld de faciliteiten en rechten die passen bij diens rol. Ook tijdens het verdere dienstverband houden we dit automatisch actueel. Verandert iemands rol, dan past HelloID ook direct de toegangsrechten aan. En verlaat iemand de organisatie, dan zorgt HelloID dat automatisch het account wordt geblokkeerd en de vertrekkende medewerker geen toegang meer heeft. Stapeling van rechten en accounts die per ongeluk toegankelijk blijven zijn niet langer mogelijk.
De meldplicht is al geborgd in onze verwerkersovereenkomsten die we met onze klanten hebben, waarbij we in geval van security incidenten dit zo snel mogelijk melden. Hiermee kunnen klanten dit weer melden bij de relevante instanties en, samen met Tools4ever, passende maatregelen nemen waar nodig.
Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?
Indien je wilt weten of jouw organisatie aan de wetgeving moet voldoen is het mogelijk om via onderstaande link een zelfevaluatie te doen om te zien of jouw organisatie onder de NIS2-richtlijn valt: