Drag

Contact
050-3645830

Van NIS naar NIS2: Evolutie van Cyberbeveiligings richtlijnen en Wat Dit Betekent voor Uw Bedrijf

LinkedIn
Twitter
Email
Print

5563

In de recente jaren zijn we getuige geweest van een aantal uitdagingen die onze maatschappij en economie op hun grondvesten hebben doen schudden, zoals COVID-19, geopolitieke spanningen en toenemende cyberdreigingen. Om hierop te reageren en een solide verdediging op te bouwen, heeft de Europese Unie een upgrade gelanceerd voor het beschermen van ons digitale landschap: de NIS2-richtlijn.

 

Laten we eens duiken in wat de NIS2-richtlijn eigenlijk inhoudt en wat het voor uw bedrijf kan betekenen.

 

De NIS2-richtlijn, de tweede versie van de Network and Information Security Directive, is een antwoord van de EU op de behoefte aan een robuustere aanpak van cyberbeveiliging. In wezen is het een upgrade van zijn voorganger, de NIS-richtlijn, die in Nederland al sinds 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). NIS2 focust zich voornamelijk op het versterken van de bescherming van netwerk- en informatiesystemen tegen cyberdreigingen.

 

Maar er is meer: de Europese Commissie heeft ook de CER-richtlijn geïntroduceerd, die meer gericht is op de bescherming tegen fysieke risico’s zoals terrorisme, sabotage, en natuurrampen. Samen vormen deze richtlijnen een krachtig schild voor zowel de digitale als de fysieke domeinen.

 

Wat betekent dit concreet voor uw organisatie?

 

Het is belangrijk om te weten dat de lidstaten tot eind 2024 hebben om de NIS2-richtlijn in hun nationale wetgeving te integreren. Dit betekent dat er nieuwe verplichtingen zullen zijn, waaronder een zorgplicht en meldplicht, die van toepassing zullen zijn op een breed scala aan sectoren, zowel publiek als privaat. Nu zult u zich afvragen: “Wat zijn de exacte vereisten en hoe kan ik me voorbereiden?” Het eerlijke antwoord is dat we op dit moment nog niet alle details hebben. Echter, in de herfst van 2023 zal er een consultatieperiode zijn waarin u de gelegenheid krijgt om feedback te geven op de voorgestelde wet- en regelgeving. Dit is een uitstekende kans om uw stem te laten horen.

 

Samenvattend, de NIS2-richtlijn is een belangrijke stap in de richting van een veiliger en veerkrachtiger Europa. Als bedrijfsleiders is het essentieel om proactief te zijn, betrokken te blijven bij het consultatieproces en strategieën te ontwikkelen om aan deze nieuwe standaarden te voldoen. Samen kunnen we een sterkere en veiligere digitale toekomst opbouwen.

 

Voor wie geldt de NIS2?

 

De nieuwe NIS2-richtlijn heeft betrekking op een groter scala aan sectoren en legt specifieke eisen op aan organisaties die als essentieel of belangrijk worden beschouwd.

Allereerst, de sectoren die door de NIS2-richtlijn worden beïnvloed zijn onderverdeeld in twee bijlagen:

 

Bijlage 1: Energie, Transport, Bankwezen, Infrastructuur financiële markt, Gezondheidszorg, Drinkwater, Digitale infrastructuur, Afvalwater.

 

Bijlage 2: Beheerders van ICT-diensten, Overheidsdiensten, Ruimtevaart, Digitale aanbieders, Post- en koeriersdiensten, Afvalstoffenbeheer, Levensmiddelen, Chemische stoffen, Onderzoek, Vervaardiging / manufacturing.

 

Als uw organisatie actief is in een van deze sectoren, is het belangrijk om te begrijpen hoe u wordt gecategoriseerd onder de NIS2-richtlijn.

 

Essentiële entiteiten: Grote organisaties die actief zijn in een sector uit Bijlage 1 en voldoen aan één van de volgende criteria: ten minste 250 werknemers; of een jaaromzet van meer dan €50 miljoen en een balanstotaal van meer dan €43 miljoen. Essentiële entiteiten vallen onder intensief toezicht, zowel proactief als reactief, om de naleving van de richtlijn te waarborgen.

 

Belangrijke entiteiten: Middelgrote organisaties in sectoren van Bijlage 1, en middelgrote tot grote organisaties in sectoren van Bijlage 2, met ten minste 50 werknemers of een jaaromzet en balanstotaal van meer dan €10 miljoen. Belangrijke entiteiten worden onderworpen aan een lichter toezichtsregime, dat voornamelijk reactief is.

 

Micro- en kleine bedrijven vallen doorgaans niet onder de NIS2-richtlijn, maar er zijn uitzonderingen. Een sector-specifieke minister kan een micro- of klein bedrijf aanwijzen als vallend onder de NIS2 op basis van een risicobeoordeling, in het bijzonder als hun diensten van cruciaal belang zijn voor de Nederlandse economie of samenleving.

 

Daarnaast zijn er specifieke categorieën micro- en kleine bedrijven, zoals aanbieders van vertrouwensdiensten en domeinnaamregistratiediensten, die automatisch onder de NIS2-richtlijn vallen. Overheidsinstanties binnen de genoemde sectoren worden ook automatisch onder de NIS2-richtlijn gebracht.

 

Als leiders is het van cruciaal belang dat u zich bewust bent van de categorie waarin uw organisatie valt en de bijbehorende verplichtingen.

 

Wat zijn de kernelementen van de NIS2-richtlijn en hoe deze uw organisatie kunnen beïnvloeden?

 

  1. Zorgplicht: Onder de NIS2-richtlijn wordt van entiteiten verwacht dat zij proactief maatregelen nemen om risico’s te identificeren en te beperken. Dit omvat het uitvoeren van een eigen risicobeoordeling en het nemen van passende maatregelen om de continuïteit van diensten te waarborgen en de bescherming van gevoelige informatie te verzekeren. Uw organisatie zal een robuust risicobeheerplan moeten implementeren dat in overeenstemming is met de standaarden en beste praktijken in de industrie.

 

  1. Meldplicht: Het is van essentieel belang dat incidenten snel worden gerapporteerd om mogelijke schade te beperken. Onder de NIS2-richtlijn dienen entiteiten incidenten die een aanzienlijke verstoring van hun essentiële diensten kunnen veroorzaken, binnen 24 uur te melden bij de bevoegde toezichthouder. Bovendien dient elk cyberincident te worden gemeld aan het Computer Security Incident Response Team (CSIRT), dat assistentie en ondersteuning kan bieden. Factoren die een incident meldingsplichtig maken, omvatten de reikwijdte van de impact, de duur van de verstoring en eventuele financiële verliezen.

 

  1. Toezicht: Uw organisatie zal ook onder toezicht komen te staan om naleving van de NIS2-richtlijn te garanderen. Dit toezicht zal zich richten op de naleving van zowel de zorgplicht als de meldplicht. Op dit moment wordt er nog gewerkt aan de specificering van welke sectoren onder welke toezichthouder zullen vallen, dus het is raadzaam om deze ontwikkelingen nauwlettend te volgen.

 

Wat kan je doen om je voor te bereiden?

 

In anticipatie op de implementatie van de NIS2-richtlijn, is het cruciaal dat uw organisatie proactief stappen onderneemt om zich adequaat voor te bereiden op de aankomende veranderingen. Een goed voorbereide organisatie kan niet alleen voldoen aan wettelijke verplichtingen, maar ook operationele veerkracht en concurrentievoordeel opbouwen. Hier zijn enkele strategische stappen die uw organisatie kan ondernemen om zich voor te bereiden op de zorgplicht onder de NIS2-richtlijn:

 

  1. Risico-inventarisatie en analyse: Breng de potentiële risico’s in kaart die van invloed kunnen zijn op uw organisatie en voer een grondige analyse uit. Dit helpt bij het identificeren van kwetsbaarheden en het prioriteren van gebieden waar beschermende maatregelen het meest noodzakelijk zijn.

 

  1. Bedrijfscontinuïteit en crisisbeheersing: Ontwikkel bedrijfscontinuïteitsplannen en protocollen voor crisisbeheersing. Deze plannen dienen op maat te zijn en moeten regelmatig worden getest en bijgewerkt om te zorgen dat uw organisatie in staat is om effectief te reageren op incidenten en bedreigingen.

 

  1. Diversificatie van toeleveringsketens: Identificeer alternatieve toeleveringsketens om de afhankelijkheid van een enkele bron te minimaliseren. Dit zal de veerkracht van uw organisatie vergroten in het geval van verstoringen.

 

  1. Personeelsbewustzijn: Investeer in het vergroten van het bewustzijn onder het personeel over de risico’s en de te nemen maatregelen. Training en educatie zijn essentieel om ervoor te zorgen dat iedereen binnen de organisatie een rol speelt in het beschermen tegen en reageren op bedreigingen.

 

  1. Budgetteren en capaciteitsplanning: Reserveer budget en capaciteit om te voldoen aan de vereisten van de richtlijn. Dit moet realistisch zijn en in overeenstemming met de complexiteit en omvang van uw organisatie.

 

Hoeveel tijd en ruimte is er?

 

Najaar 2023 – Internetconsultatie Periode: Een essentieel onderdeel van dit proces is de internetconsultatie die naar verwachting in het najaar van 2023 zal beginnen. Deze consultatieperiode van 6 weken biedt een unieke kans voor burgers, bedrijven, en overheidsinstellingen om input te leveren over mogelijke verbeteringen in de aanstaande wet- en regelgeving. De feedback zal worden geanalyseerd, en de resultaten worden openbaar gemaakt. Waar relevant en haalbaar, zal de input worden geïncorporeerd in het wetsvoorstel. Het wetsvoorstel zal beschikbaar zijn op internetconsultatie.nl. De precieze datum van aanvang van de consultatieperiode is nog niet vastgesteld.

 

Eind 2024 – Inwerkingtreding van de Wet: Na behandeling door het parlement wordt verwacht dat de wet eind 2024 in werking treedt. Vanaf dat moment zullen organisaties die onder de NIS2-richtlijn vallen, verplicht zijn om te voldoen aan de zorgplicht en meldplicht zoals voorgeschreven door de wet.

 

Wat vond je van deze pagina?

Goed
Slecht
Bedankt!

VANDAAG

... is op gister na, de beste dag om te beginnen met business intelligence en informatie beveiliging.

050 - 364 5830