De Impact van NIS22025-06-23T11:22:12+00:00

De Impact van NIS2

Consultant Onne van der Lei van MitH Management heeft zich verdiept in de betekenis die de NIS2-Richtlijn gaat spelen en deelt de door hem verkregen inzichten graag met u. (15/11/2023)

Inleiding

Van Europese richtlijn naar nationale wetgeving.

In een wereld gedreven door technologie, is cybersecurity onmisbaar. We vertrouwen dagelijks op digitale systemen en het beschermen van onze gegevens, privacy en vitale infrastructuren is niet langer een keuze, maar een absolute noodzaak.

Om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren, is de Europese Unie sinds 2020 bezig met de ontwikkeling van de Network and Information Security (NIS2) richtlijn. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het doel hiervan is om het algemene cyberbeveiligingsniveau van de EU te verhogen. Dit heeft invloed op de verantwoordelijkheid, aansprakelijkheid en bedrijfscontinuïteit van veel organisaties.

Wij begrijpen dat cybersecurity en deze nieuwe wetgeving een uitdaging kunnen zijn voor jouw organisatie. Zijn er vragen over hoe de NIS2-richtlijn van invloed kan zijn op je organisatie? Of ben je gewoon op zoek naar advies over het aanscherpen van je cybersecuritymaatregelen? Wij zijn meer dan bereid om eens om de tafel te gaan voor een vrijblijvend gesprek. Geen verplichtingen, gewoon een informele uitwisseling van ideeën. Samen kunnen we bekijken wat MitH voor jouw organisatie kan betekenen.

NIS2-Richtlijn

In de afgelopen jaren is er een toenemende bezorgdheid over de veiligheid van de samenleving en economie, mede veroorzaakt door gebeurtenissen zoals COVID-19, de oorlog in Oekraïne en cyberdreigingen. Om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren, is de Europese Unie sinds 2020 bezig met de ontwikkeling van de Network and Information Security (NIS2) richtlijn. Dit heeft gevolgen voor de verantwoordelijkheid en aansprakelijkheid van organisaties.

1.1 Wat is de NIS2-Richtlijn?

De NIS2-richtlijn richt zich specifiek op digitale (cyber) risico’s met betrekking tot netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. Het is de opvolger van de oorspronkelijke NIS-richtlijn, ook bekend als de NIB in Nederland, die in 2016 werd opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). Beide richtlijnen stellen een kader op vanuit de EU voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid.

De NIS2-richtlijn is noodzakelijk vanwege toenemende dreigingen en de groeiende afhankelijkheid van de digitalisering in de samenleving. Elk EU-land kon voorheen zelf bepalen hoe het de regels met betrekking tot cybersecurity implementeerde en handhaafde. Om de algehele cyberbeveiliging binnen de EU te versterken, is de NIS2-richtlijn eind vorig jaar gepubliceerd. Lidstaten hebben tot 18 oktober 2024 de tijd om de nodige veranderingen door te voeren en wet- en regelgeving aan te passen. De NIS2-richtlijn heeft als doel:

  • De coördinatie van cybersecurity binnen de EU te verbeteren, met name op het gebied van handhaving door toezichthoudende instanties.
  • De lijst met sectoren uit te breiden en onderscheid te maken tussen essentiële en belangrijke organisaties op basis van criteria zoals personeelsomvang, omzet en
    balanstotaal. Hierin wordt onderscheid gemaakt in de volgende organisaties:
    1. Essentiele organisaties zijn organisaties met 250 werknemers of een netto omzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen. Deze organisaties zullen proactief worden gemonitord door de toezichthoudende instanties.
    2. Belangrijke organisaties hebben meer dan 50 mensen in dienst en een jaaromzet groter dan €50 miljoen. Deze organisaties kunnen eens in de zoveel tijd een audit verwachten.
    3. Belangrijke organisaties hebben meer dan 50 mensen in dienst en een jaaromzet groter dan €50 miljoen. Deze organisaties kunnen eens in de zoveel tijd een audit verwachten.
    4. Uitzondering: Kleiner dan 50 werknemers en €50 miljoen, maar ben je aanbieder van vertrouwensdiensten (digitale diensten die de vertrouwelijkheid, integriteit en authenticiteit van elektronische transacties, communicatie en documenten waarborgen)? Dan moet jouw organisatie ook aan NIS2 voldoen.

1.2 Waarvoor dient de NIS2-Richtlijn?

Bepaalde processen zijn zo essentieel voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid. Deze processen vormen de Nederlandse vitale infrastructuur. Elektriciteit, toegang tot internet, drinkwater en betalingsverkeer zijn voorbeelden van vitale processen. De NIS2-richtlijn is in het leven geroepen om deze vitale processen te beschermen. De NIS2-richtlijn schrijft daarbij voor entiteiten de volgende verplichtingen voor:

  • Zorgplicht: De NIS2-richtlijn legt een verplichting op aan organisaties om zelf een risicobeoordeling uit te voeren. Op basis hiervan moeten zij passende maatregelen nemen om de veiligheid van hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.
  • Meldplicht: Volgens de NIS2-richtlijn moeten organisaties incidenten die de essentiële dienstverlening aanzienlijk kunnen verstoren, binnen 24 uur melden bij de toezichthouder. In geval van een cyberincident moet dit ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Factoren die een incident meldingswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.
  • Registratieplicht: Organisaties die onder de NIS2-richtlijn vallen, moeten zich verplicht registreren. Deze registratie heeft als doel een Europees overzicht te bieden van het aantal entiteiten dat onder de NIS2-valt.
  • Toezicht: Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht om te controleren of zij voldoen aan de verplichtingen van de richtlijn, waaronder de zorg- en meldplicht. Op dit moment wordt nog bepaald welke sectoren onder het toezicht van welke toezichthouder vallen.

De NIS2-richtlijn verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale risico’s. Essentiële en belangrijke entiteiten moeten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

1.3 Wie is de eigenaar van de NIS2-Richtlijn?

De NIS2-richtlijn is door de Europese Unie om gezamenlijk een hoog niveau van cybersecurity te creëren. In het najaar van 2023 start een consultatieperiode waarin burgers, organisaties en overheidsinstellingen mee kunnen denken over de wet- en regelgeving die in voorbereiding is. Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het Europese Parlement zijn behandeld. De ‘eigenaar’ van NIS2 is dus de EU, maar burgers organisaties en overheidsinstellingen hebben inspraak in de definitieve samenstelling van de richtlijn.

2.1 Waarom zou een organisatie geïnteresseerd moeten zijn in de NIS2-Richtlijn?

Als een organisatie valt onder de NIS2-richtlijn dan heeft dat de nodige consequenties (Voor een actueel overzicht van de exacte maatregelen in NIS2, zie digitaleoverheid.nl):

  • Naleving: Je dient je verplicht te houden aan de beveiligingsmaatregelen en rapportageplicht. Denk aan het hebben van de juiste certificeringen en het melden van
    ernstige incidenten aan de relevante instanties.
  • Verhoogde aansprakelijkheid: Organisaties die niet voldoen aan de NIS2-richtlijn en die als gevolg daarvan gevoelige informatie verliezen, kunnen aansprakelijk worden gesteld voor de gevolgen ervan. Denk hierbij aan financiële verliezen, reputatieschade en juridische aansprakelijkheid.
  • Kosten: Je zult zeer waarschijnlijk extra kosten moeten gaan maken om te voldoen aan de richtlijn. Denk de aanpassing van bestaande systemen en processen, maar ook aan nieuwe mensen opleiden en aan de implementatie van nieuwe tooling en het monitoren
    van potentiële dreigingen.

Naast de consequenties voor organisaties zelf, zorgt de invoering van de NIS2-richtlijn ook voor verhoogde handhaving van nationale autoriteiten op het naleven van de regels. Er zal sprake zijn van een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd. Dit maakt het risico op de negatieve gevolgen van het onjuist naleven van de NIS2-richtlijn nog groter.
Ondanks deze negatieve consequenties, moeten organisaties natuurlijk het doel van de invoering van NIS2 niet uit het oog verliezen. Het doel ervan is om binnen de EU een algemeen hoog cyberweerbaarheidsniveau te creëren en dat is voor elke organisatie van belang.

2.2 Wat betekent de NIS2-Richtlijn voor de verantwoordelijkheid, aansprakelijkheid en organisatiecontinuïteit van organisaties?

Voor organisaties heeft de invoering van de NIS2-richtlijn invloed op de verantwoordelijkheid, aansprakelijkheid en organisatie continuïteit. De invoering van NIS2 moet zorgen voor meer veiligheid, maar doet dit door een stukje vrijheid en daarmee verantwoordelijkheid bij organisaties weg te nemen. Er is nog steeds een grote mate van verantwoordelijkheid, omdat de verantwoordelijkheid van cyberweerbaarheid nog steeds bij organisaties zelf ligt. Echter, zorgt de strengere regelgeving en verhoogde controle ook voor een bepaalde verplichting in plaats van de vrijheid die organisaties nu hebben.

De aansprakelijkheid neemt voor organisaties alleen maar toe. Door de strengere regelgeving wordt het voor de overheid gemakkelijker om bepaalde misstappen van organisaties in hun cyberbeveiliging bloot te leggen. Zo stelt bijvoorbeeld de meldplicht dat entiteiten binnen 24-uur melding moeten maken van incidenten. Doen zij dit niet, dan ben je als organisatie aansprakelijk voor de gevolgen.

Het doel van de NIS2-richtlijn is het verhogen van het cyberweerbaarheidsniveau. Deze verhoogde weerbaarheid komt de organisatiecontinuïteit ten goede, mits er wordt voldaan aan de nieuwe richtlijn. Enerzijds doordat organisaties zichzelf hierdoor beter beschermen tegen en om te gaan met cyberaanvallen, anderzijds door de verplichting richting lidstaten om entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale risico’s.

2.3 Wat kan je als organisatie nu al doen om je voor te bereiden op NIS2?

Om je als organisatie gereed te maken voor de nieuwe wetgeving, kun je nu al voorbereidingen treffen. Eén daarvan is het uitvoeren van een risicoanalyse waarin digitale dreigingen en risico’s in kaart worden gebracht (zie bijlage 1 in: De Impact van NIS2). Dit is geen eenmalige analyse, maar een continue proces. Andere aandachtsgebieden die organisaties in orde moeten hebben zijn:

  • Beleid rondom risicoanalyse: De risicoanalyse is niet eenmalig, maar een regelmatige analyse van risico’s.
  • Doeltreffendheid: Wordt de huidige staat van effectiviteit van cybersecurity getoetst? Ook dit is een regelmatige activiteit.
  • Ketenveiligheid: Welke potentiële risico’s liggen er bij externe leveranciers of dienstverleners? Is er aandacht voor ketenveiligheid? Maatregelen moeten hierbij niet alleen liggen bij de organisatie zelf, maar ze moeten gericht zijn op bescherming van de gehele keten. Zijn er afspraken met externe partners over bijvoorbeeld het gebruik van data?
  • Organisatiecontinuïteit: Wat gebeurd er nu in geval van nood? Is er back-up of crisisplan aanwezig? Na een incident moeten organisaties hun dienstverlening zo snel mogelijk weer kunnen hervatten. Dat vereist bijvoorbeeld een gedegen back-up- en recoverybeleid, en de nodige noodvoorzieningen. Denk bij dat laatste aan reserve-laptops en -werkplekken.
  • Incidentenafhandeling: Hoe worden incidenten afgehandeld en mogelijk geregistreerd? Is er een incidentenresponsplan?
  • Training: Worden werknemers meegenomen in het beleid rondom cybersecurity en wordt dit nageleefd?
  • Cryptografie en encryptie: NIS2 is wat deze securitymaatregel betreft vrij concreet. Organisaties moeten waar mogelijk encryptie toepassen. Bijvoorbeeld voor de versleuteling van gevoelige data en communicatiestromen.
  • Fysieke beveiliging: Beveiliging van personeel, toegangscontrolebeleid en activabeheer. Cybercriminelen kunnen ook via fysieke toegang tot werkplekken of systemen een aanval opzetten. Organisaties moeten weten wie er aanwezig is op de werkvloer en welke toegangsrechten medewerkers hebben.
  • Multifactorauthenticatie: Pas die toe bij accounts die vanaf het internet bereikbaar zijn, beheerrechten hebben en op accounts van essentiële systemen.

2.4 Wat is de impact van de NIS2-Richtlijn op organisaties?

SCOPAFIJTH is een impactanalyse-tool die gebruikt kan worden om de impact van veranderingen of projecten in kaart te brengen. Hierbij maakt het model gebruik van 10 categorieën en breng je betrokken afdelingen en IT-processen in kaart. Per categorie is er toegelicht wat de invoer van de NIS2 richtlijn is op deze categorie. Door voor jou organisatie in te vullen welke afdelingen en IT systemen betrokken zijn, kan de impact van de invoering worden ingeschat.