Uit onderzoek blijkt dat het wereldwijde aantal cyberaanvallen tegen overheidsinstellingen en -diensten in de publieke sector in 2023 met 40% gestegen is in slechts één kwartaal. Een zorgwekkende ontwikkeling die de Europese Unie niet ontgaan is. Het internationale bestuursorgaan heeft achter de schermen gewerkt aan een vernieuwing van de richtlijn voor de veiligheid van Netwerk- en Informatie Systemen (NIS): de NIS2 richtlijn. Deze zal per 17 oktober 2024 in werking treden. Hieronder lees je wat deze richtlijn precies inhoudt, voor wie deze bedoeld is, en wat je ermee moet doen als de richtlijn op jouw organisatie betrekking heeft.
NIS vs NIS2: wat is anders?
Hoewel de eerste cybercrimineel al in 1981 veroordeeld werd, nam cybercriminaliteit zo’n tien jaar geleden pas écht een vlucht. In 2016 introduceerde de EU met de Directive on Security of Network and Information Systems (NIS), waarmee de eerste wetgeving rondom cybersecurity en digitale weerbaarheid een feit werd. In Nederland is deze eerste variant van de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). In deze richtlijn worden strenge eisen gesteld op het gebied van cybersecurity voor de zogenoemde ‘essentiële bedrijven’. En juist dát gaat veranderen in de nieuwe, aangepaste variant – de NIS2-richtlijn.
De NIS2 richtlijn is dus eigenlijk de vernieuwe wetgeving op het gebied van cyberbeveiliging. De richtlijn biedt een kader en bijbehorende wettelijke maatregelen om het niveau van cyberbeveiliging in de EU, en in de afzonderlijke lidstaten, te verhogen. De NIS2-richtlijn is als het ware een verdieping van de huidige NIS-richtlijn, maar is daarnaast uitgebreid met een aantal toevoegingen waarin de oorspronkelijke NIS-richtlijn nog niet voorziet.
Voor wie geldt de NIS2-richtlijn?
De nieuwe NIS2-richtlijn zal voor veel meer sectoren, en dus voor véél meer bedrijven en organisaties, gaan gelden dan de huidige NIS. Zo geldt de NIS2-richtlijn niet alleen voor essentiële bedrijven, maar ook voor belangrijke bedrijven. Met deze aanpassing wil de EU ervoor zorgen dat alle organisaties die een belangrijke functie in de samenleving vervullen, door deze richtlijn gedekt worden. Denk bijvoorbeeld aan bedrijven in sectoren als voedselproductie, afvalbeheer, vervoer, financiën, drinkwater, en de maakindustrie, maar ook aan bedrijven die een belangrijke rol spelen bij de infrastructuur van het internet, post-en koeriersdiensten, de chemische sector, en digitale aanbieders zoals marktplaatsen.
Duidelijk is dat meer middelgrote en grote bedrijven zich vanaf de geplande invoering in oktober aan de vernieuwde richtlijn zullen moeten gaan houden. Daarnaast heeft de overheid de mogelijkheid ook kleinere bedrijven met een hoog veiligheidsrisico aan te wijzen als bedrijven waarop de richtlijn betrekking heeft. Ook die bedrijven zullen zich dan aan de nieuwe regelgeving moeten houden.
Twijfel je of de nieuwe richtlijn ook op jouw bedrijf van toepassing is? Via de NIS2 Zelfevaluatie NL tool van de Rijksoverheid kun je controleren of jouw bedrijf zich ook aan de nieuwe regelgeving zal moeten conformeren.
Wat betekent de NIS2-richtlijn?
Met de nieuwe NIS2-richtlijn voert de EU een aantal verplichte maatregelen in om de cybersecurity te verbeteren:
- Het implementeren van een risicobeheerproces: risicobeheer is onderdeel van het kwaliteitsmanagement van je organisatie. Als organisatie dien je op de hoogte te zijn van de risico’s waaraan je blootstaat. Cyberrisico’s moeten dan ook worden geïdentificeerd en aangepakt.
- Het actief uitvoeren van incidentmanagement en het opstellen van een plan voor incidentresponse: dit zorgt voor waarborging van de bedrijfscontinuïteit ten tijde van een cyberaanval. Zo wordt er verwacht dat er een plan klaarligt dat in werking zal treden wanneer er sprake is van een incident. Denk hierbij aan het herstel van systemen, noodprocedures, en het inrichten van een crisisorganisatie.
- Het delen van informatie over cyberbeveiligingsincidenten: de nieuwe NIS2-richtlijn eist dat je je organisatieprocessen dusdanig ingericht hebt, dat er bij een cyberaanval snel een correcte rapportage gedaan kan worden aan de autoriteiten. Zo bestaat onder meer de harde eis dat grote incidenten binnen 24 uur gemeld worden. Het is dus zaak om het incidentmanagement van je organisatie op orde te hebben.
Boete voor het niet voldoen aan NIS2?
Een andere belangrijke toevoeging aan de NIS2-richtlijn is de proactieve controle. Als essentiële organisatie dien je je voor te bereiden op proactieve controles, waarbij gecheckt zal worden of je aan de richtlijn voldoet. Voldoe je niet, dan riskeer je een boete van maximaal 10 miljoen euro, of het equivalent van twee procent van de totale jaaromzet van je bedrijf.
LET OP: het is belangrijk om je te realiseren dat de overheid je niet laat weten of de NIS2-richtlijn op jouw bedrijf van toepassing is. Je zult dit dus zelf goed moeten checken door de NIS2 zelfevaluatie secuur uit te voeren.
NIS2: hoe kan ik me voorbereiden?
Hoewel oktober nog niet direct voor de deur staat, is het wel verstandig om nu alvast de nodige voorbereidingen te treffen. Om te beginnen is het goed om een risicoanalyse te maken. Deze bestaat uit drie stappen: het identificeren van de bestaande risico’s (1), de evaluatie van deze risico’s (2) waarin je beschrijft hoe groot de kans is dat een bepaald risico zich voordoet en wat de impact hiervan is. Tot slot zet je een actieplan op (3) om de in kaart gebrachte risico's zo veel en zo goed mogelijk te beheersen door middel van accuraat incidentmanagement.
Andere acties die je nu alvast kunt ondernemen:
- Check of de nieuwe richtlijn voor jou van toepassing is
- Bepaal welke maatregelen nodig zijn om aan de vereisten van de richtlijn te voldoen en je digitale weerbaarheid te verbeteren
- Inventariseer welke netwerk- en informatiesystemen gebruikt worden binnen jouw organisatie
- Verhoog het bewustzijn van het personeel omtrent cybersecurity en cyberrisico's
- Budgetteer de mogelijke maatregelen zodat je niet ineens verrast wordt door de kosten van de implementatie.
Hou dit in gedachten
Het is belangrijk om je te realiseren dat:
- de NIS2-richtlijn op nationaal niveau geïmplementeerd zal worden, wat betekent dat alle EU-lidstaten zelf moeten gaan bepalen hoe de NIS2-richtlijn precies gaat werken.
- Voor MKB-bedrijven zijn er andere oplossingen, omdat de kosten voor het cyberrisico-proof maken van je organisatie, laat staan het betalen van een boete voor het niet naleven van de NIS2-richtlijn voor dergelijke bedrijven simpelweg niet zijn op te brengen. De overheid biedt een subsidieregeling aan, en MKB-besdrijven kunnen ook een ander traject kiezen om zich tegen cyberrisico's te wapenen, bijvoorbeeld door conform de SIRA maatstaven te werken.
- WoodWing is ISO 27001 gecertificeerd. Naar verwachting zal het voor WoodWing, doordat al ISO 27001-conform gewerkt wordt, niet problematisch zijn om aan de NIS2-richtlijn te voldoen. Het maakt WoodWing bovendien geloofwaardiger wanneer we artikelen op het gebied van cybersecurity posten en organisaties adviseren over hoe ze moeten voldoen aan de eisen van de NIS2-richtlijn.
Veel omtrent de implementatie van de NIS2-richtlijn is op dit moment nog niet duidelijk, maar zodra dat wel het geval is, zullen we de informatie in dit artikel aanvullen en up-to-date maken.