Zet nu al stappen richting NIS2!
De NIS2-richtlijn richt zich op risico's die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico's. Deze nieuwe Europese richtlijn verplicht bedrijven om passende maatregelen te nemen om de beveiliging van hun ICT systemen te waarborgen. Het doel is de digitale veerkracht van vitale sectoren en diensten te versterken en de impact van cyberaanvallen te minimaliseren. Tal van organisaties zijn verplicht zich te houden aan deze nieuwe Europese wetgeving voor cybersecurity. Welke organisaties dat zijn en wat er verandert? Daarvoor geven we je een inkijk in deze nieuwe NIS2-richtlijn.
NIS2 brengt cybersecurity naar een hoger niveau
NIS staat voor ‘Network and Information Security’. De eerste NIS-richtlijn dateert van 2016. Deze is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Inmiddels is deze aan vervanging toe en wordt de tweede versie (NIS2) uiterlijk 17 oktober 2024 van kracht. Daarmee wordt een groot aantal organisaties gedwongen om de kwaliteit van hun cybersecurity naar een hoger niveau te tillen.
De NIS2-richtlijn regelt een aantal zaken rondom cybersecurity:
- Het in kaart brengen van security risico’s;
- Het beperken van risico’s door bescherming en detectie;
- Het beperken van de gevolgen van een cyberincident.
Voldoen minimaal aan de basisbeveiligingselementen
Wat betreft de mate van beveiliging kent de NIS tal van open normen. Zo wordt in de richtlijn gesproken over ‘de stand van de techniek en het aanwezige risico’ en ‘passende en evenredige maatregelen’. Ook de NIS2-richtlijn kent dergelijke open normen, maar tevens worden enkele minimale basisbeveiligingselementen toegevoegd. Daaraan moet minimaal worden voldaan. Daarbij kun je denken aan zaken als het hebben van een risicobeleid, back-up beheer, cyberhygiëne, beleid voor encryptie, multifactor-authenticatie en netwerksegmentatie.
NIS2 kan (in)direct ook voor jouw organisatie gelden
De reikwijdte van de sectoren waarop de cybersecurityrichtlijn van toepassing is, is flink uitgebreid. Zo richt de NIS2-richtlijn zich op vrijwel alle organisaties, die belangrijke functies vervullen in de samenleving. Bovendien stelt de NIS2-richtlijn ook eisen aan het beheer van risico's van derden in toeleveringsketens en in relaties met leveranciers. Valt jouw organisatie niet direct onder de NIS2, maar heb jij wel klanten waarvoor de NIS2-richtlijn geldt? Dan is de kans groot dat je indirect toch met de NIS2 te maken krijgt. Jouw klanten kunnen namelijk van jou verlangen dat je voldoet aan de uitgangspunten van de NIS2. Hierdoor geldt de NIS2-richtlijn indirect voor nog veel meer organisaties.
Valt jouw organisatie niet direct onder de NIS2, maar heb jij wel klanten waarvoor de NIS2-richtlijn geldt? Dan is de kans groot dat je indirect toch met de NIS2 te maken krijgt.
Zet nu al de nodige stappen om te voldoen aan NIS2
De NIS2-richtlijn moet uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. Dat betekent dat tegen die datum de Wet beveiliging netwerk- en informatiesystemen moet zijn aangepast. Het is om die reden verstandig om tijdig te anticiperen op deze nieuwe wetgeving. De NIS2-richtlijn bevat een zorgplicht, die organisaties verplicht een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Stap 1 – Voldoe aan de basismaatregelen
Een eerste, goede stap kun je maken door te voldoen aan de basismaatregelen, die zijn opgesteld door het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid. Zij hebben een handreiking met daarin de basismaatregelen die elke organisatie zou moeten treffen om cyberaanvallen tegen te gaan.
Stap 2 – Organiseer trainingen rondom cybersecurity
Een tweede stap is het organiseren van trainingen rondom cybersecurity, voor alle medewerkers en het bestuur. Volgens de NIS2-richtlijn moeten bestuurders zich scholen op het gebied van cybersecurity. Kennis daarvan is voor hen belangrijk, aangezien zij cybersecuritymaatregelen moeten goedkeuren en moeten toezien op de uitvoering ervan. Houdt een organisatie zich niet aan de beveiligingsplicht, dan kan - op grond van de NIS2-richtlijn - het bestuur aansprakelijk worden gehouden.
Baseline Informatiebeveiliging Overheid
Voor overheidsorganisaties vormen de bestaande kaders voor informatiebeveiliging, waaronder de Baseline Informatiebeveiliging Overheid (BIO), de basis om invulling te geven aan de zorgplicht die uit de NIS2-richtlijn voortvloeit.
Meer weten?
Maikel, onze accountmanager, helpt je graag verder. Je kunt hem mailen of bellen.
E-mail: m.koekkoek@solviteers.nl | Telefoonnummer: 06 13 08 38 22