NIS… wat? De nieuwe Europese NIS2-richtlijn is de opvolger van de NIS (Network and Information Security Directive) en gaat in op 17 oktober 2024. Het lijkt misschien een ver-van-mijn-bedshow, maar onder de nieuwe richtlijn vallen een stuk meer sectoren dan het geval was bij de oude NIS-richtlijn. Val je onder de belangrijke en essentiële sectoren? Dan zul je strengere maatregelen moeten nemen op het gebied van informatiebeveiliging, het auditen van leveranciers en het melden van incidenten. We nemen je mee in wat de NIS2-richtlijn inhoudt, voor welke sectoren de nieuwe norm geldt en hoe jouw organisatie zich dankzij een goed risico- en auditmanagement systeem nú al kan voorbereiden.
Misschien heb jij als organisatie jouw cybersecurity helemaal op orde. Dat zou vrij uniek zijn, gezien het aantal meldingen van cybersecurity-incidenten die in een fors tempo blijven stijgen. Volgens onderzoek van Positive Technologies kunnen externe cybercriminelen bij 93% van de bedrijfsnetwerken binnendringen.
Wat daarna gebeurt kan dramatische gevolgen hebben. Denk maar aan de verstoring van het productieproces of de dienstverlening, het (niet kunnen) betalen van losgeld en het lekken van gevoelige informatie. Cybercriminaliteit is ook niet alleen meer gericht op grote organisaties: ook de ‘kleintjes’ krijgen ermee te maken: 43% van de cyberaanvallen is gericht op kleine bedrijven.
Het Cybersecurity Magazine geeft nog een aantal verontrustende cijfers:
van de kleine bedrijven geeft aan dat phishing hun grootste securitydreiging is.
van de kleine organisaties vindt zijn securitybeleid ‘zeer doeltreffend’.
van de kleine tot middelgrote bedrijven is niet voorbereid op herstel van financiële schade als gevolg van een aanval door cybercriminelen.
van de kleine bedrijven is niet verzekerd tegen cyberaanvallen, ook al weten ze dat ze niet zouden herstellen van een aanval.
Vaak weten organisaties dus wel dat de dreigingen er zijn, toch is de stap om er ook écht mee aan de slag te gaan vaak te groot. Gelukkig wordt de wetgeving hierover steeds strenger. Ook Europa neemt de digitale veiligheid steeds serieuzer.
Cybersecurity is ontzettend belangrijk voor de bescherming van onze samenleving. Om die reden heeft de Europese Unie in 2016 de Network and Information Security Directive geïntroduceerd. Nu komt er dus een vernieuwde richtlijn – de NIS2 – om de cyberveiligheid en de weerbaarheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren.
De reden is niet moeilijk te raden: de afgelopen jaren werd duidelijk dat verschillende globale ontwikkelingen onze maatschappij en economie bedreigen. Het gaat dan niet alleen om cyberdreigingen, maar bijvoorbeeld ook om dreigingen zoals COVID-19, de oorlog in Oekraïne, recenter het opnieuw oplaaiende conflict in de Gazastrook en klimaatverandering.
De NIS2-richtlijn moet ervoor zorgen dat de digitale en economische weerbaarheid van de EU-lidstaten beter wordt en wordt op dit moment omgezet naar nationale wetgeving. Inmiddels is de officiële deadline voor de implementatie van de NIS2-richtlijn bekend: op 17 oktober 2024 zal de richtlijn ingaan. De lidstaten hebben tot dan de tijd om alles vast te leggen in hun eigen wetgeving.
Oké, maar wat houdt de nieuwe richtlijn dan precies in? Uit een bevraging van Intrakoop (inkoopcoöperatie voor de zorg) in 2023 bleek dat 60% van de ondervraagde zorgprofessionals nog nooit van de NIS2-richtlijn had gehoord…
Het is belangrijk om voorbereid te zijn en te weten wat er van je verwacht wordt. Wat er in de richtlijn staat is namelijk niet niks. We sommen daarom de belangrijkste zaken die je moet weten over de NIS2 voor je op.
De oude NIS-richtlijn uit 2016 focust alleen op essentiële bedrijven voor de maatschappij, zoals de gezondheidszorg en de energiesector. De nieuwe NIS2-richtlijn is veel uitgebreider en omvat ook bedrijven die belangrijk zijn voor de maatschappij. Denk hierbij aan internetproviders en leveranciers van digitale services, maar ook overheidsinstanties.
Alle organisaties die onder de NIS2-richtlijn zullen vallen, worden dus ingedeeld in ‘essentieel’ of ‘belangrijk’. Het verschil tussen de twee categorieën is de manier waarop er gehandhaafd wordt. Wanneer je je als organisatie in een essentiële sector niet aan de regels houdt, zul je dus zwaarder bestraft worden dan wanneer jouw organisatie onder de categorie ‘belangrijk’ valt. Een ander verschil is dat essentiële entiteiten ook vooraf met toezicht te maken zullen krijgen.
Val jij onder een van de hierboven genoemde sectoren? Dan moet je voldoen aan een zorgplicht en een meldplicht. Kanttekening: met uitzondering van bedrijven met minder dan vijftig medewerkers en een jaaromzet en balanstotaal van minder dan 10 miljoen euro.
Als je onder de NIS2-richtlijn valt kom je daarnaast onder toezicht te staan. Een onafhankelijke toezichthouder zal erop toezien dat jouw organisatie zich aan de zorg- en meldplicht houdt.
De NIS2 wil de cybersecurity van de Europese lidstaten op verschillende manieren verbeteren: door het aanscherpen van beveiligingseisen, het aanpakken van de beveiliging van supply chains (de leveranciersketen), het stroomlijnen van rapportageverplichtingen, enzovoort.
Risicomanagement is dus een belangrijk onderdeel van de NIS2. Het woord wordt maar liefst 144 keer (!) genoemd in de definitieve versie van de NIS2. De risico’s beschreven in de NIS2 gaan grotendeels over digitale dreigingen, maar het gaat veel verder dan dat. In de nieuwe richtlijn staan ook risico’s benoemd zoals natuurlijke en door mensen veroorzaakte risico’s. Denk aan natuurrampen, terroristische aanslagen en noodsituaties zoals pandemieën.
Tooling zoals Zenya RISK helpt met het in kaart brengen van deze risico’s. Dankzij de software krijg je inzicht in de belangrijkste risico’s en kun je ze op een eenvoudige manier identificeren, beheersen, monitoren én aantoonbaar maken. Omdat jouw collega’s moeten begrijpen wat hun rol zal zijn bij het naleven van de NIS2, kan een up-to-date risicomanagement systeem helpen met het verhogen van het risicobewustzijn in je organisatie. Zo wordt risicomanagement iets wat niet alleen gedragen wordt door de eindverantwoordelijken op het gebied van security, maar door iedereen binnen de organisatie.
Wanneer de NIS2 ingaat, zal het niet meer voldoende zijn dat jouw organisatie voldoet aan de regels. Je moet ook de beveiligingsrisico’s in je toeleveringsketens en leveranciersrelaties aanpakken. Want zelfs al zou je zelf helemaal veilig zijn, dan kan een fout van één van je essentiële leveranciers ervoor zorgen dat jouw dienstverlening stil komt te liggen. Dit kan even grote gevolgen hebben als wanneer je de fout zelf maakt.
Stel dat je als energieproducent nieuwe windmolens aankoopt bij een leverancier om je capaciteit uit te breiden, en die leverancier wordt getroffen door een ransomware-aanval. Dan kun jij als leverancier van een essentiële dienst je capaciteit niet uitbreiden. Je moet dus ook in kaart brengen wat je verwacht van leveranciers. Vraag je gewoon jaarlijks het ISO 27001 certificaat op, en is het dan goed? Stuur je een vragenlijst waarin je hen bevraagt over hun securitymaatregelen? Of ga je zelf langs om te auditen? Je zult hier goed over moeten nadenken en dit vastleggen als jouw organisatie straks onder de NIS2 valt.
Gelukkig merken we bij Infoland dat het bewustzijn rondom het belang van leveranciers voor de corebusiness bij organisaties steeds meer groeit. Organisaties gaan leveranciers steeds vaker auditen, en we verwachten dat dit door de NIS2-richtlijn nog meer zal toenemen. De mate waarin leveranciers worden geaudit, hangt af van het belang van je organisatie. Hoe belangrijker, hoe intenser en vaker je ze zal moeten auditen. Hoewel de NIS2 vooral gaat over security, is de richtlijn natuurlijk veel breder dan dat en zul je dus ook op die manier moeten auditen.
Met een slim auditmanagementsysteem, zoals Zenya CHECK, borg je dit proces. Je wordt ondersteund door overzichtelijke planningen, automatische taakschema’s inclusief meldingen en duidelijke rapportages. Met dit auditmanagementsysteem kun je de focus leggen op een specifieke norm – zoals de NIS2-richtlijn – en zo optimaal compliant zijn.
Er is nog heel wat werk aan de winkel bij de meeste organisaties. Ook al heb je goede securitysoftware, ook al zijn de grootste risico’s in kaart gebracht en ook al neem je leveranciers regelmatig onder de loep – om aan de nieuwe wet te voldoen zul je meer moeten doen. Awareness creëren onder medewerkers bijvoorbeeld, het bewustzijn over de nieuwe regelgeving moet worden vergroot.
Want wellicht weet jij wel wat het betekent, maar een groot deel van je collega’s heeft nog nooit van de NIS2 gehoord of denkt dat het niet van toepassing is op jouw organisatie. Je kunt het bewustzijn van medewerkers vergroten door trainingen en informatiesessies te organiseren en door Zo blijft leren leuk en worden je collega’s niet overspoeld door informatie.
Twijfel je na het lezen van dit artikel toch nog of jouw organisatie onder de NIS2 valt? De Rijksinspectie Digitale Infrastructuur heeft een zelf-evaluatietool uitgebracht waarmee je kunt checken of de NIS2-richtlijn van toepassing is op jouw organisatie. Ook zie je met de tool of je onder de categorie ‘essentieel’ of ‘belangrijk’ valt.
Digitale Overheid. (2023, 10 oktober). NIS2-richtlijn NIS2-richtlijn – digitale overheid. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/
Nationaal Cyber Security Centrum. (2023, 18 oktober). Samenvatting van de NIS2-richtlijn | Nationaal Cyber Security Centrum. https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/samenvatting-richtlijnhttps://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/welke-sectoren-en-organisaties-vallen-onder-de-nis2-richtlijn
ESET Digital Security. (2022, 23 augustus). Wat is NIS2? https://www.eset.com/nl/over/newsroom/corporate-blog/wat-is-nis2/
Nomios België. (2023). Wat is NIS2 en wat betekent het voor jouw organisatie? https://www.nomios.be/resources/wat-is-nis2/
Intrakoop. (2023, 17 oktober). Interessante uitkomsten Rapport Digitalisering gezondheidszorg. https://www.intrakoop.nl/nieuws/details/2023/10/17/interessante-uitkomsten-rapport-digitalisering-gezondheidszorg
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.