Customer portal Tel.: +31 (0)30 247 77 00

NIS2: waarom moet je nu al aan de slag?

Blog

NIS2: Waarom moet je nu al aan de slag?

NIS, oftewel Network & Information Systems, is een EU-richtlijn die in 2016 werd geïmplementeerd om kritieke infrastructuren te beschermen tegen cyberdreigingen, met als doel de digitale weerbaarheid van de meest kritische sectoren van de samenleving te versterken. Nu, vijf jaar later, groeien de dreigingen en neemt onze afhankelijkheid van digitale informatievoorzieningen toe. Daarom wordt NIS2 geïntroduceerd.

Geschreven door: Jeroen Hentschke

Waarom moet je nu al aan de slag?

De Nis2 richtlijn identificeert aanzienlijk meer sectoren als ‘vitaal’ en vereist meer inspanningen op het gebied van verantwoordelijkheid en resultaten, waaronder het onderscheppen en herkennen van cyberaanvallen en het detecteren van ongewoon netwerkgedrag. Alleen blijkt uit onderzoek dat nog lang niet alle betrokken organisaties begonnen zijn met de voorbereidingen op NIS2.

De impact van de NIS2-richtlijn

De nieuwe wet- en regelgeving heeft impact op vier belangrijke aspecten. Hieronder wordt ieder aspect kort toegelicht.

1. Uitbreiding van essentiële sectoren
Met de komst van NIS2 wordt een veel grotere groep sectoren als essentieel beschouwd. Terwijl NIS1 zeven essentiële sectoren van nationaal belang omvatte, zoals energie, transport, bankwezen en zorg, breidt NIS2 deze lijst flink uit. Zo zijn onder andere afvalwaterbeheer, ICT-diensten, overheid en ruimtevaart aan de lijst toegevoegd. Bovendien is er een extra lijst van vitale sectoren die onder reactief toezicht vallen, zoals post- en koeriersdiensten, chemische productie en distributie, voedselverwerking, maakindustrie, digitale dienstverleners, online platforms, zoekmachines en clouddiensten. In totaal is NIS2 van toepassing op maar liefst achttien sectoren binnen drie typen categorieën: essentiële sectoren, belangrijke sectoren en micro- en kleine ondernemingen met sleutelrol in de samenleving.

2. Strengere beveiligingseisen (zorgplicht)
Naast de uitbreiding van sectoren gaan de beveiligingseisen in NIS2 aanzienlijk verder dan NIS1. Organisaties moeten niet alleen meer technische maatregelen nemen, maar ook voldoen aan strengere proceseisen, zoals incidentafhandeling en uitgebreidere meldingsvereisten. Dit is in de Europese richtlijn uitgewerkt als zorgplicht, naast de meldplicht voor incidenten en toezicht.

3. Uitbreiding van ketenaansprakelijkheid
De ketenbepalingen in NIS2 voorkomen dat een veiligheidsrisico bij één partij gevolgen heeft voor alle andere schakels in de keten. Dit vraagt om een actievere controle van bedrijven op de beveiligingsrisico’s van opdrachtnemers en hun onderaannemers. Denk hierbij aan inkoopvereisten, leveranciersclassificering en periodieke leveranciersbeoordelingen.

4. Scherper toezicht
Lidstaten zullen hun toezichthoudende instanties moeten versterken. In Nederland is de toezichthoudende organisatie het Nationaal Cyber Security Centrum. Bovendien worden er, vergelijkbaar met de AVG, boetes opgelegd de wetgeving niet wordt nageleefd. Voor essentiële sectoren bedraagt deze tien miljoen euro of 2 procent van de totale wereldwijde omzet en voor belangrijke sectoren is dit zevenmiljoen of 1,4 procent van de totale wereldwijde omzet. Over de boetes voor micro- en kleine ondernemingen is vooralsnog niets bekend.

Veranderingen in de externe omgeving maken NIS2 noodzakelijk
Sinds de coronapandemie is thuiswerken de nieuwe standaard geworden. Dit dwong organisaties tot het maken van aanpassingen in hun ICT-infrastructuur, zodat medewerkers vanuit andere locaties ook toegang konden krijgen tot het bedrijfsnetwerk. Hoewel dit nu bij veel organisaties is gerealiseerd, is er vaak onvoldoende aandacht besteed aan de beveiliging. Daarnaast heeft de opkomst van de (public) cloud, een blijvende impact gehad. Door deze ontwikkelingen zijn gebruikers en applicaties steeds meer van elkaar verwijderd geraakt, wat nieuwe eisen stelt aan zowel netwerk- als informatiebeveiliging. Het is belangrijk hier rekening mee te houden bij het beoordelen van de mate waarin je organisatie voldoet aan de richtlijnen van NIS2 en bij het bepalen van de benodigde stappen om de naleving te handhaven.

Hoe kun je je voorbereiden op de NIS2?

Aan de ene kant zijn er strengere securitywetten, maar aan de andere kant moet de IT-infrastructuur flexibel zijn om te werken vanaf elke locatie en voor de overstap naar de cloud. Deze ontwikkelingen vergroten de druk op cybersecurity. Daarom is het volgen van een stappenplan hoe je je kunt voorbereiden op NIS2 een goed vertrekpunt om straks daadwerkelijk volledig compliant te zijn:

  1. Breng je kritische bedrijfsprocessen in kaart
    Bepaal welke diensten binnen de organisatie als cruciaal worden beschouwd voor de bedrijfsvoering. Identificeer de systemen, processen of infrastructuur die van vitaal belang zijn en zorg voor specifieke beveiligingsmaatregelen om deze te beschermen. (en dus ook bijbehorende applicaties). Een goede methodiek hiervoor is het uitvoeren van een Business Impact Analyse (BIA).
  2. Stel een risicoanalyse op
    Kijk in welke mate je bestaande risico’s kunt mitigeren en welke risico’s je accepteert conform vastgestelde risicoacceptatiecriteria. Bepaal waar de druk het hoogst is en waar het risico op kwetsbaarheden in de infrastructuur en datalekken te groot is.
  3. Implementeer beveiligingsmaatregelen
    Na het uitvoeren van een risicoanalyse kun je geïdentificeerde risico’s aanpakken middels het implementeren van beheersmaatregelen, zoals versterking van netwerkbeveiliging en verbetering van toegangscontroles.
  4. Controleer het managementsysteem
    Welke aspecten kunnen beter worden geoptimaliseerd in het geïmplementeerde managementsysteem? Zijn de risico’s nog steeds relevant, of hebben er wijzigingen plaatsgevonden in het risicolandschap? Laat het managementsysteem (onafhankelijk) beoordelen op effectiviteit.
  5. Draag zorg voor continue verbetering
    Voer de geïdentificeerde correctieve maatregelen door in de operationele planning en stel deadlines zodat de risico’s tijdig gemitigeerd kunnen worden.

Cybersecurity vereist continue monitoring

Vooral met de invoering van NIS2 wordt cybersecurity meer dan ooit een voortdurende prioriteit. Na implementatie van maatregelen is voortdurende monitoring essentieel om te evalueren of je nog steeds op de juiste koers zit. Met deze zogenoemde Plan-Do-Check-Act (PDCA)-methodiek zorg je ervoor dat je organisatie zich blijft aanpassen aan veranderende bedreigingen en dat je proactief kunt inspelen op nieuwe ontwikkelingen in het cybersecuritylandschap. Hiermee waarborg je de effectiviteit van je cybersecuritymaatregelen op de lange termijn. Het nauwlettend monitoren en het creëren van transparantie – waarin je duidelijk laat zien welke maatregelen zijn genomen – worden als essentieel beschouwd door toezichthouders.

Jeroen Hentschke

deze blog is geschreven door cybersecurity expert Jeroen Hentschke. Wil je meer weten over NIS2 laat dan hieronder je bericht achter.

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.

Cookies & Privacy

Wij maken gebruik van cookies. Lees meer hierover in ons cookie statement.