Eind 2022 heeft de Europese Raad akkoord gegeven aan NIS2, de geüpdatete versie van de Europese securityrichtlijnen (in Nederland NIB2 genaamd). Hiermee is het goedkeuringsproces rondom de nieuwe richtlijnen afgerond. NIS2 is sinds 16 januari van kracht en omvat onder andere een bredere meldplicht omtrent cyberaanvallen en strengere eisen rondom netwerk- en informatiebeveiliging. Europese lidstaten hebben tot ongeveer 2024 om zelf nieuwe securityregels voor organisaties in te voeren conform de nieuwe richtlijn.
Wat is NIS2?
NIS staat voor Network- and Information Security (of in het Nederlands 'NIB' voor Netwerk- en Informatie Beveiliging). NIS2 is de tweede versie van de Europese NIS-richtlijn. De eerdere variant werd in 2016 al door het Europees Parlement en de Europese Raad geratificeerd. Dit leidde Nederland in 2018 tot het verwerken van de richtlijnen in de Wet Beveiliging, Netwerk en Informatiesystemen (WNBI). Deze wet maakte het voor bepaalde Nederlandse bedrijven verplicht om cyberaanvallen te melden en bepaalde securitymaatregelen te nemen.
De richtlijn zal in alle lidstaten een update van de nationale cybersecuritystrategie afdwingen. Zo ook in Nederland. De wet- en regelgeving over risicomanagement, encryptie en data-incidenten wordt dus in de nabije toekomst scherper. Het is dus hoog tijd om de beveiliging van je netwerk bij te spijkeren.
Speciaal voor de liefhebber van uitgebreide internationaal juridische stukken is de volledige tekst hier te vinden.
Op welke bedrijven heeft NIS2 impact?
Momenteel gelden deze regels alleen nog voor organisaties die essentiële of vitale diensten verlenen en bedrijven in de digitale dienstverlening. Onder de nieuwe eisen gaat het aantal bedrijven dat tot deze groep behoort flink stijgen. Voormalig hoofd Cyber Security bij Defensie en huidige Europarlementariër Bart Groothuis zei er het volgende over:
“Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet. Dus ook kleine dienstverleners. We steggelen nog over wat we precies verstaan onder ‘essentieel’.” Internet service providers, kleine fabrieken, bedrijven die te maken hebben met water of energie: dat soort bedrijven zullen als essentieel worden gezien.”
Wat betekent de NIS2-richtlijn voor mijn onderneming?
Dat ligt er aan in welke classificatie je terecht komt. Ben je niet bestempeld als essentieel of belangrijk? Dan heb je zelf geen extra verantwoordelijkheden. De nieuwe landelijke wet- en regelgeving zul je wel moeten volgen; deze geldt voor iedereen. Belangrijk, vitaal, essentieel of ‘gewoon’. Het blijft altijd raadzaam om je beveiliging op orde te houden.
Naast de classificaties essentieel en vitaal zal er onder NIS2 ook de stempel 'belangrijk' bij komen. Bedrijven in deze categorie hoeven niet aan de meest strenge securityvereisten te voldoen, maar moeten wel datalekken en cyberaanvallen melden.
Afhankelijk van je tak van sport kan het dus zo zijn dat jouw bedrijf binnenkort onder de microscoop gaat. De branches die extra aandacht moeten geven aan hun cybersecurity en gegevensbescherming zijn onder anderen: de gezondheidszorg, het vervoerswezen, energiebedrijven en producenten van essentieel materiaal. In totaal zullen 16 sectoren te maken krijgen met de veranderingen. Welke bedrijven dit precies gaan zijn bepaalt de Rijksoverheid. Het Nationaal Cyber Security Centrum (NCSC) zal vervolgens als waakhond fungeren. Zij controleren of bedrijven voldoen aan de eisen, en bieden advies en ondersteuning bij het halen van de securitydoelen.
“Het gaat er niet om of jij onderdeel bent van de vitale infrastructuur. Het gaat erom of een ransomware hacker jou interessant genoeg vindt voor zijn business model. Cybersecurity is dus belangrijk voor alle ondernemers. Datalekken kunnen altijd en bij ieder bedrijf ontstaan. Je bent als ondernemer altijd verantwoordelijk voor de klantgegevens in je bezit.”
Bedrijven die wel zo’n stempeltje krijgen zullen goed op moeten letten. Boetes voor het niet nakomen van de richtlijnen zijn flink; tot wel 10 miljoen euro of 2% van de jaaromzet. De wetgeving van lidstaten moet ‘chefsache’ worden volgens de Europese Raad. Dit betekent dat de bestuurder van een bedrijf persoonlijk aansprakelijk zal zijn voor eventuele misstanden. Zo geeft de EU aan dat zij cyberbeveiliging serieus nemen, en motiveert zij de directie om dat ook te doen. Dus, beste CEO of mkb’er, opletten geblazen:
Je bedrijf is 'Belangrijk'
Gefeliciteerd, je bent belangrijk! Je moet aan de slag om je aan de NIS2-richtlijn te gaan voldoen. Neem je informatie- en cloudbeveiliging goed onder de loep, en ga op zoek naar zwaktes in je beveiliging. Ben je niet zo’n hobby-hacker? Schakel dan een IT-partner in om een kritisch kijkje naar je beveiliging te nemen.
Bij belangrijke organisaties zal het toezicht achteraf gehandhaafd worden. Dit betekent dat de staat van je beveiliging niet proactief gecontroleerd wordt, maar je wel verantwoordelijk bent zodra het mis gaat. Je bent als belangrijke organisatie verplicht om incidenten als cyberaanvallen en datalekken aan te geven bij de NCSC. Mocht vervolgens blijken dat dit incident te verwijten is aan nalatigheid of benedenmaatse informatiebeveiliging, dan krijg je alsnog met de consequenties te maken.
Je bedrijf is 'Essentieel'
Waar zouden we toch zijn zonder jouw bedrijf? Voor essentiële bedrijven moet de beveiliging voortaan altijd op orde zijn. Je moet eerst gecertificeerd worden door te laten zien dat je organisatie aan de nieuwe eisen voldoet. Daarna is het zaak om ook aan de eisen te blijven voldoen. Houdt je security dus up-to-date! Doe je dit niet en ontvang je onaangekondigd bezoekje van een toezichthouder? Dan volgt er een tik op de vingers.
Voor een eerlijke vergissing zal er naar verwachting eerst een waarschuwing volgen, waarna je de fout wel direct op moet lossen. Bij grotere vergrijpen en onaanvaardbare nalatigheid is echter direct een boete geoorloofd. Deze afschrikmethode en constante waakzaamheid is nodig omdat het IT-landschap van essentiële dienstverleners continu verandert. Er moet dus strak op gelet worden dat de beveiligingssystemen up-to-date en dekkend blijven.
Hoe bereid je goed voor op de NIS2-richtlijn?
Gezien het nog niet zeker is welke vorm de maatregelen die Nederland gaat treffen aan zullen nemen, kunnen we hier geen allesomvattend antwoord bieden. Wat we wel graag meegeven is advies en adoptie op maat. Hier volgen alvast een aantal ‘best practices’ om goed voorbereid te zijn op de komende veranderingen.
- Leer de NIS2-richtlijn kennen: Ga na of deze van toepassing zijn op je organisatie. Ben je exploitant van essentiële diensten of digitale dienstverlener? Dan is het van belang om de vereisten die op je zaak van toepassing zijn te leren kennen en vooral ook te gaan begrijpen.
- Check je huidige beveiliging: In welke staat is de beveiliging van je netwerk- en informatiesystemen momenteel? Je doel moet hier niet zijn om jezelf een complimentje te geven voor ‘goed genoeg’. Ga op zoek naar iets om te verbeteren. Kijk niet alleen naar je IT, maar ook naar de menselijke processen rondom gegevensbescherming. Blijken er risicofactoren in je beveiliging te zitten? Pak ze dan direct aan en plug de grotere gaten eerst.
- Maak duidelijke afspraken: Als je de huidige beveiliging onder de loep hebt genomen, kun je een plan ontwikkelen om NIS2-compliant te worden. Tref nieuwe beveiligingsmaatregelen en werk bestaande maatregelen bij zodat deze up-to-date zijn. Beleidsgewijs kun je de menselijke processen bijschaven, of hele nieuwe procedures ontwikkelen.
- Ga in gesprek: Beveiliging doe je nooit alleen. Iedere werknemer moet op de hoogte zijn van eventuele veranderingen in de werkwijze of verwachtingen. Wellicht kunnen zij nog relevante feedback rondom je security bieden! Ook raden we aan om nauw contact te houden met klanten over eventuele gevolgen en voor de inwinning van waardevolle feedback. Regelgevende instanties en partners in IT kunnen je waardevol advies bieden.
- Blijf waakzaam: Het naleven van de NIS2-richtlijn wordt een continu proces. Hou je op de hoogte van de nieuwste ontwikkelingen rondom cybersecurity om vervelende verassingen of gedateerde beveiligingsmaatregelen voor te zijn. Controleer en evalueer regelmatig je informatiebeveiliging, verbeter waar nodig en blijf doorontwikkelen.
NIS2 in Nederland
Nu de definitieve richtlijn is goedgekeurd moeten Europese lidstaten zelf aan de bak om de nationale wet- en regelgeving hier op aan te passen. Ze hebben tot begin 2024 om dit te doen.
Ons landje begon afgelopen juli alvast met het aanscherpen van de wetten rond cyberbeveiliging. Het Ministerie van Economische Zaken maakte destijds bekend dat de WNBI uitgebreid werd. Sindsdien gelden er al strengere regels voor multi-tenant datacenters en grote DNS-dienstverleners. De wetten rond iedere vitale sector worden het komende jaar onder handen genomen.
Meer weten of hulp nodig?
In deze blog hebben we je kort verteld over de veranderingen rondom NIS2. Hebben we je wat verder kunnen helpen? Twijfel je of je netwerk- en informatiebeveiliging op orde is? Dan helpen wij je graag uit de brand. Wil je even vrijblijvend sparren of heb je interesse in onze beveiliging of managed services; neem dan gerust contact met ons op.