NIS 2 komt eraan; wat betekent dit en wat kun je nu al doen?

Deel dit bericht

Eind 2022 heeft de Europese Unie de ‘Network and Information Security Directive’ (NIS 2-richtlijn) aangenomen met als doel de digitale en economische weerbaarheid van Europese lidstaten te versterken. Deze richtlijn is specifiek gericht op het adresseren van digitale (cyber) risico’s met betrekking tot netwerk- en informatiesystemen in vitale domeinen, zoals bijvoorbeeld het internet, gezondheidszorg, vitale infrastructuur en het betalingsverkeer. De NIS 2-richtlijn vervangt de oorspronkelijke NIS-richtlijn, ook wel bekend als de NIB in Nederland, die in 2016 werd opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Voor wie is de NIS 2-richtlijn bedoeld?

De NIS 2-richtlijn is bedoeld voor organisaties die door de Europese lidstaten worden aangemerkt als aanbieders van essentiële diensten. Deze essentiële diensten vinden we in sectoren die van vitaal belang zijn voor onze economie en samenleving en die sterk afhankelijk zijn van ICT, zoals energie, vervoer, water, bankieren, financiële-marktinfrastructuren, gezondheidszorg en digitale infrastructuur. Digitale dienstverleners die als belangrijk worden beschouwd, zoals zoekmachines, cloudcomputingdiensten en online marktplaatsen, dienen te voldoen aan de beveiligings- en meldingsverplichtingen zoals uiteengezet in de richtlijn. Belangrijk om te vermelden is dat de richtlijn niet alleen van toepassing is op de vitale organisaties zelf, maar ook op hun toeleveranciers.

Weet je niet zeker of de NIS 2-richtlijn voor jouw organisatie van toepassing is? De Rijksoverheid heeft een zelfevaluatie ontwikkeld om vast te stellen of de organisatie binnen de scope van de richtlijn valt: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/.

Wat wordt vanuit de nieuwe NIS 2-richtlijn van mij verwacht?

Vanuit de NIS 2 richtlijn worden een aantal verplichtingen beschreven waar organisaties aan moeten voldoen. Deze bestaan onder andere uit:

Toezicht

Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht. Dit omvat een beoordeling van de naleving van de richtlijn, met specifieke aandacht voor de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder toezicht vallen en welke toezichthouders daarbij betrokken zijn.

Zorgplicht

De NIS 2-richtlijn legt een zorgplicht op aan organisaties, waarbij ze verplicht zijn zelf een risicobeoordeling uit te voeren. Op basis van deze beoordeling moeten ze passende maatregelen nemen om hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.

Meldplicht

Binnen de NIS 2-richtlijn moeten organisaties incidenten binnen 24 uur melden bij de toezichthouder. Dit geldt met name voor incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren. Bij een cyberincident wordt bovendien melding vereist bij het Computer Security Incident Response Team (CSIRT), dat ondersteuning en bijstand kan bieden. Criteria voor meldingswaardige incidenten omvatten onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.

Registratieplicht

Organisaties die onder de NIS 2-richtlijn vallen, dienen zich te registreren. Deze registratie draagt bij aan een breed Europees overzicht van het aantal organisaties dat onder de NIS 2 valt.

Wanneer wordt NIS 2 van kracht?

Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het Europees Parlement is goedgekeurd. Vanaf dat moment worden organisaties die onder de NIS 2-richtlijn vallen, verplicht om aan de zorgplicht en meldplicht te voldoen. Het is van cruciaal belang dat deze organisaties tijdig de nodige maatregelen nemen om te voldoen aan de vereisten van de NIS 2-richtlijn, om de digitale en operationele weerbaarheid te versterken en te voldoen aan de wettelijke verplichtingen. Het implementeren van passende beveiligingsmaatregelen en het opstellen van een effectief Incident Response Plan zijn hierbij essentiële stappen om een soepele overgang te waarborgen en te anticiperen op de aankomende regelgeving.

Wat kan ik nu al doen om voor te bereiden op NIS 2?

De Rijksoverheid adviseert organisaties om proactief te handelen en niet te wachten op volledige duidelijkheid over wet- en regelgeving. Aangezien de risico’s voor organisaties en systemen nu al bestaan, is het raadzaam om ook nu al maatregelen te nemen. Organisaties die nu actie ondernemen, beschermen zich niet alleen tegen bestaande risico’s, maar zijn ook beter voorbereid op de aankomende wetgeving. Dit kan worden bereikt door de volgende stappen te ondernemen:

Voer een risicoanalyse en -beoordeling uit voor zowel fysieke als digitale risico's die de dienstverlening van jouw organisatie kunnen verstoren. Klik op het 1-icoon en lees meer over Risicoanalyse en hoe wij je erbij kunnen ondersteunen.

Implementeer maatregelen waar mogelijk om de organisatie beter te beschermen tegen deze geïdentificeerde risico's.

Stel procedures op die de organisatie in staat stellen om incidenten die bedrijfsprocessen kunnen verstoren te detecteren, monitoren, oplossen en melden. Ontwikkel bijvoorbeeld een incident response plan. Klik op het 3-icoon om hier meer over te leren, via het Digital Trust Center van de overheid.

Wat kan Newmorn’ voor jouw organisatie betekenen?

Newmorn’ is gespecialiseerd in het implementeren en onderhouden van managementsystemen op gebied van informatiebeveiliging. Denk hierbij aan de ISO 27001, NEN 7510 maar ook bijvoorbeeld de Baseline Informatiebeveiliging Overheid (BIO). De maatregelen die binnen deze verschillende normenkaders vallen, hebben een sterke overlap met de NIS 2-vereisten. Newmorn’ kan jouw organisatie dan ook begeleiden om de NIS 2-maatregelen naadloos te integreren in de reeds geïmplementeerde processen. Zo werken we samen aan overzicht, inzicht en… gemoedsrust.

Jordi van Duyne

Ga je liever direct in gesprek met een deskundige op het gebied van NIS 2? Neem dan gerust contact op met Jordi van Duyne, Consultant bij Newmorn’.

Meer berichten

Consultancy