nlenbe-nlseDé beste software voor kwaliteits- en risicomanagement.

NIS2: Valt jouw organisatie onder de Europese richtlijn?

NIS… wat? De nieuwe Europese NIS2-richtlijn is de opvolger van de NIS (Network and Information Security Directive) en gaat in op 17 oktober 2024. Het lijkt misschien een ver-van-mijn-bedshow, maar onder de nieuwe richtlijn vallen een stuk meer sectoren dan het geval was bij de oude NIS-richtlijn. Val je onder de belangrijke en essentiële sectoren? Dan zul je strengere maatregelen moeten nemen op het gebied van informatiebeveiliging, het auditen van leveranciers en het melden van incidenten. We nemen je mee in wat de NIS2-richtlijn inhoudt, voor welke sectoren de nieuwe norm geldt en hoe jouw organisatie zich dankzij een goed risico- en auditmanagement systeem nú al kan voorbereiden.

Misschien heb jij als organisatie jouw cybersecurity helemaal op orde. Dat zou vrij uniek zijn, gezien het aantal meldingen van cybersecurity-incidenten die in een fors tempo blijven stijgen. Volgens onderzoek van Positive Technologies kunnen externe cybercriminelen bij 93% van de bedrijfsnetwerken binnendringen.

Wat daarna gebeurt kan dramatische gevolgen hebben. Denk maar aan de verstoring van het productieproces of de dienstverlening, het (niet kunnen) betalen van losgeld en het lekken van gevoelige informatie. Cybercriminaliteit is ook niet alleen meer gericht op grote organisaties: ook de ‘kleintjes’ krijgen ermee te maken: 43% van de cyberaanvallen is gericht op kleine bedrijven.

Het Cybersecurity Magazine geeft nog een aantal verontrustende cijfers:

  • 30% van de kleine bedrijven geeft aan dat phishing hun grootste security dreiging is;
  • 14% van de kleine bedrijven vindt zijn securitybeleid ‘zeer doeltreffend’;
  • 83% van de kleine tot middelgrote bedrijven is niet voorbereid op het herstel van financiële schade als gevolg van een aanval door cybercriminelen;
  • 91% van de kleine bedrijven is niet verzekerd tegen cyberaanvallen, ook al weten ze dat ze niet zouden herstellen van een aanval.

30%

van de kleine bedrijven geeft aan dat phishing hun grootste securitydreiging is.

14%

van de kleine organisaties vindt zijn securitybeleid ‘zeer doeltreffend’.

83%

van de kleine tot middelgrote bedrijven is niet voorbereid op herstel van financiële schade als gevolg van een aanval door cybercriminelen.

91%

van de kleine bedrijven is niet verzekerd tegen cyberaanvallen, ook al weten ze dat ze niet zouden herstellen van een aanval.

Vaak weten organisaties dus wel dat de dreigingen er zijn, toch is de stap om er ook écht mee aan de slag te gaan vaak te groot. Gelukkig wordt de wetgeving hierover steeds strenger. Ook Europa neemt de digitale veiligheid steeds serieuzer.

Wat is de NIS2-richtlijn?

Cybersecurity is ontzettend belangrijk voor de bescherming van onze samenleving. Om die reden heeft de Europese Unie in 2016 de Network and Information Security Directive geïntroduceerd. Nu komt er dus een vernieuwde richtlijn – de NIS2 – om de cyberveiligheid en de weerbaarheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren.

De reden is niet moeilijk te raden: de afgelopen jaren werd duidelijk dat verschillende globale ontwikkelingen onze maatschappij en economie bedreigen. Het gaat dan niet alleen om cyberdreigingen, maar bijvoorbeeld ook om dreigingen zoals COVID-19, de oorlog in Oekraïne, recenter het opnieuw oplaaiende conflict in de Gazastrook en klimaatverandering.

De NIS2-richtlijn moet ervoor zorgen dat de digitale en economische weerbaarheid van de EU-lidstaten beter wordt en wordt op dit moment omgezet naar nationale wetgeving. Inmiddels is de officiële deadline voor de implementatie van de NIS2-richtlijn bekend: op 17 oktober 2024 zal de richtlijn ingaan. De lidstaten hebben tot dan de tijd om alles vast te leggen in hun eigen wetgeving.

Europese Richtlijn NIS2 - Zenya

De NIS2 in het kort

Oké, maar wat houdt de nieuwe richtlijn dan precies in? Uit een bevraging van Intrakoop (inkoopcoöperatie voor de zorg) in 2023 bleek dat 60% van de ondervraagde zorgprofessionals nog nooit van de NIS2-richtlijn had gehoord…

Het is belangrijk om voorbereid te zijn en te weten wat er van je verwacht wordt. Wat er in de richtlijn staat is namelijk niet niks. We sommen daarom de belangrijkste zaken die je moet weten over de NIS2 voor je op.

  • De NIS2 verscherpt de vereisten voor cybersecurity, waarbij risicomanagement een belangrijke rol speelt.
  • De Europese lidstaten gaan meer samenwerken om de veiligheid te verbeteren.
  • De NIS2-richtlijn omvat een stuk meer sectoren dan de oude NIS-richtlijn. Verder op deze pagina geven we je een overzicht.
  • Organisaties worden ingedeeld in twee categorieën: zijn ze belangrijk of essentieel voor de maatschappij? Het grote verschil tussen deze categorieën zit hem in de monitoring en het naleven van de regels.
  • Er komt meer aandacht voor de bestuursorganen van bedrijven die onder de NIS2 vallen. Met andere woorden: bestuurders kunnen aansprakelijk worden gesteld als er iets fout loopt.
  • Je moet als organisatie straks incidenten melden en er komen strengere sancties als je de richtlijn niet naleeft. Denk aan schorsingen en boetes (tot tien miljoen euro).
  • Niet alleen moet jouw eigen organisatie aan de NIS2-richtlijn voldoen, je moet ook de beveiligingsrisico’s bij leveranciers en dus je leveranciersketen in kaart brengen.

Voor welke sectoren is de NIS2-richtlijn belangrijk?

De oude NIS-richtlijn uit 2016 focust alleen op essentiële bedrijven voor de maatschappij, zoals de gezondheidszorg en de energiesector. De nieuwe NIS2-richtlijn is veel uitgebreider en omvat ook bedrijven die belangrijk zijn voor de maatschappij. Denk hierbij aan internetproviders en leveranciers van digitale services, maar ook overheidsinstanties.

Alle organisaties die onder de NIS2-richtlijn zullen vallen, worden dus ingedeeld in ‘essentieel’ of ‘belangrijk’. Het verschil tussen de twee categorieën is de manier waarop er gehandhaafd wordt. Wanneer je je als organisatie in een essentiële sector niet aan de regels houdt, zul je dus zwaarder bestraft worden dan wanneer jouw organisatie onder de categorie ‘belangrijk’ valt. Een ander verschil is dat essentiële entiteiten ook vooraf met toezicht te maken zullen krijgen.

Organisaties onder de NIS2 richtlijn - Zenya

Welke verplichtingen omvat de NIS2?

Val jij onder een van de hierboven genoemde sectoren? Dan moet je voldoen aan een zorgplicht en een meldplicht. Kanttekening: met uitzondering van bedrijven met minder dan vijftig medewerkers en een jaaromzet en balanstotaal van minder dan 10 miljoen euro.

  • Alle organisaties die onder de nieuwe richtlijn vallen, hebben een zorgplicht. Dat betekent dat je je aan een lijst van maatregelen moet houden. Je moet zelf een risicobeoordeling doen en op basis daarvan passende maatregelen nemen om jouw diensten te kunnen waarborgen.
  • De meldplicht houdt in dat je incidenten binnen 24 uur moet melden bij de toezichthouder. Het gaat dan om incidenten die de essentiële dienstverlening ernstig kunnen verstoren. Word je slachtoffer van een cyberincident? Dan moet je dit ook melden bij het Computer Security Incident Response Team (CSIRT). Hoe weet je of een melding noodzakelijk is? Dat is afhankelijk van factoren zoals:
    • Het aantal personen dat getroffen wordt door de verstoring;
    • De mogelijke financiële gevolgen;
    • Hoe lang de verstoring duurt.

Als je onder de NIS2-richtlijn valt kom je daarnaast onder toezicht te staan. Een onafhankelijke toezichthouder zal erop toezien dat jouw organisatie zich aan de zorg- en meldplicht houdt.

Risicomanagement als belangrijk onderdeel van de NIS2

De NIS2 wil de cybersecurity van de Europese lidstaten op verschillende manieren verbeteren: door het aanscherpen van beveiligingseisen, het aanpakken van de beveiliging van supply chains (de leveranciersketen), het stroomlijnen van rapportageverplichtingen, enzovoort.

Risicomanagement is dus een belangrijk onderdeel van de NIS2. Het woord wordt maar liefst 144 keer (!) genoemd in de definitieve versie van de NIS2. De risico’s beschreven in de NIS2 gaan grotendeels over digitale dreigingen, maar het gaat veel verder dan dat. In de nieuwe richtlijn staan ook risico’s benoemd zoals natuurlijke en door mensen veroorzaakte risico’s. Denk aan natuurrampen, terroristische aanslagen en noodsituaties zoals pandemieën.

Tooling zoals Zenya RISK helpt met het in kaart brengen van deze risico’s. Dankzij de software krijg je inzicht in de belangrijkste risico’s en kun je ze op een eenvoudige manier identificeren, beheersen, monitoren én aantoonbaar maken. Omdat jouw collega’s moeten begrijpen wat hun rol zal zijn bij het naleven van de NIS2, kan een up-to-date risicomanagement systeem helpen met het verhogen van het risicobewustzijn in je organisatie. Zo wordt risicomanagement iets wat niet alleen gedragen wordt door de eindverantwoordelijken op het gebied van security, maar door iedereen binnen de organisatie.

NIS2 Europese richtlijn - Zenya

Een transparante leveranciersketen

Wanneer de NIS2 ingaat, zal het niet meer voldoende zijn dat jouw organisatie voldoet aan de regels. Je moet ook de beveiligingsrisico’s in je toeleveringsketens en leveranciersrelaties aanpakken. Want zelfs al zou je zelf helemaal veilig zijn, dan kan een fout van één van je essentiële leveranciers ervoor zorgen dat jouw dienstverlening stil komt te liggen. Dit kan even grote gevolgen hebben als wanneer je de fout zelf maakt.

Stel dat je als energieproducent nieuwe windmolens aankoopt bij een leverancier om je capaciteit uit te breiden, en die leverancier wordt getroffen door een ransomware-aanval. Dan kun jij als leverancier van een essentiële dienst je capaciteit niet uitbreiden. Je moet dus ook in kaart brengen wat je verwacht van leveranciers. Vraag je gewoon jaarlijks het ISO 27001 certificaat op, en is het dan goed? Stuur je een vragenlijst waarin je hen bevraagt over hun securitymaatregelen? Of ga je zelf langs om te auditen? Je zult hier goed over moeten nadenken en dit vastleggen als jouw organisatie straks onder de NIS2 valt.

Belangrijke en essentiële leveranciers auditen

Gelukkig merken we bij Infoland dat het bewustzijn rondom het belang van leveranciers voor de corebusiness bij organisaties steeds meer groeit. Organisaties gaan leveranciers steeds vaker auditen, en we verwachten dat dit door de NIS2-richtlijn nog meer zal toenemen. De mate waarin leveranciers worden geaudit, hangt af van het belang van je organisatie. Hoe belangrijker, hoe intenser en vaker je ze zal moeten auditen. Hoewel de NIS2 vooral gaat over security, is de richtlijn natuurlijk veel breder dan dat en zul je dus ook op die manier moeten auditen.  

Met een slim auditmanagementsysteem, zoals Zenya CHECK, borg je dit proces. Je wordt ondersteund door overzichtelijke planningen, automatische taakschema’s inclusief meldingen en duidelijke rapportages. Met dit auditmanagementsysteem kun je de focus leggen op een specifieke norm – zoals de NIS2-richtlijn – en zo optimaal compliant zijn.

Conclusie

Er is nog heel wat werk aan de winkel bij de meeste organisaties. Ook al heb je goede securitysoftware, ook al zijn de grootste risico’s in kaart gebracht en ook al neem je leveranciers regelmatig onder de loep – om aan de nieuwe wet te voldoen zul je meer moeten doen. Awareness creëren onder medewerkers bijvoorbeeld, het bewustzijn over de nieuwe regelgeving moet worden vergroot.

Want wellicht weet jij wel wat het betekent, maar een groot deel van je collega’s heeft nog nooit van de NIS2 gehoord of denkt dat het niet van toepassing is op jouw organisatie. Je kunt het bewustzijn van medewerkers vergroten door trainingen en informatiesessies te organiseren en door Zo blijft leren leuk en worden je collega’s niet overspoeld door informatie.

Twijfel je na het lezen van dit artikel toch nog of jouw organisatie onder de NIS2 valt? De Rijksinspectie Digitale Infrastructuur heeft een zelf-evaluatietool uitgebracht waarmee je kunt checken of de NIS2-richtlijn van toepassing is op jouw organisatie. Ook zie je met de tool of je onder de categorie ‘essentieel’ of ‘belangrijk’ valt.

Bronnen:

Digitale Overheid. (2023, 10 oktober). NIS2-richtlijn NIS2-richtlijn – digitale overheidhttps://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/

Nationaal Cyber Security Centrum. (2023, 18 oktober). Samenvatting van de NIS2-richtlijn | Nationaal Cyber Security Centrum. https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/samenvatting-richtlijnhttps://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/welke-sectoren-en-organisaties-vallen-onder-de-nis2-richtlijn

ESET Digital Security. (2022, 23 augustus). Wat is NIS2? https://www.eset.com/nl/over/newsroom/corporate-blog/wat-is-nis2/

Nomios België. (2023). Wat is NIS2 en wat betekent het voor jouw organisatie? https://www.nomios.be/resources/wat-is-nis2/

Intrakoop. (2023, 17 oktober). Interessante uitkomsten Rapport Digitalisering gezondheidszorg. https://www.intrakoop.nl/nieuws/details/2023/10/17/interessante-uitkomsten-rapport-digitalisering-gezondheidszorg

Meer weten over Zenya?

Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.

Download de brochure voor Zenya Software - Software voor kwaliteits- en risicomanagement

Gratis demo beschikbaar

Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.

Meer weten over hoe Zenya jouw organisatie kan ondersteunen?

Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.