Wellicht, en hopelijk, ken je hem al, de in Europa geldende Network en Information Security-richtlijn (NIS). Het kan zijn dat je ervan gehoord hebt, maar er nog niet mee te maken hebt gehad. Deze richtlijn geldt namelijk voor essentiële bedrijven, zoals water- en telecombedrijven.
Tegenwoordig wordt NIS echter niet meer als toereikend geacht, dus komt de EU met een nieuwe versie: NIS 2. Er gaan zeker tien keer zo veel bedrijven onder NIS 2 vallen dan onder de huidige richtlijn. Hierdoor bestaat er een grote kans dat ook jouw bedrijf aan deze wetgeving moet gaan voldoen. Dat komt omdat er meer bedrijven worden aangemerkt als essentieel of belangrijk, maar ook omdat er gekeken moet worden naar de volledige leveranciersketen, zowel de interne als de externe leveranciers.
De grotere bedrijven in de volgende sectoren gaan onder NIS 2 vallen:
- De tien sectoren die als essentieel zijn aangemerkt zijn energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater, afvalwater, ruimtevaart, overheidsdiensten/openbaar bestuur en digitale infrastructuur.
- De sectoren post- en koerierdiensten, afvalbeheer, productie en distributie chemische stoffen, voedingsproductie, -verwerking en -distributie, verwerkende industrie en digitale aanbieders worden als belangrijk beschouwd en vallen dus ook onder NIS 2.
Ook kleinere maar wel essentiële bedrijven, zoals aanbieders van communicatienetwerken en vertrouwensdiensten, gaan onder NIS 2 vallen.
In mei 2022 is er een politiek akkoord bereikt tussen het Europees Parlement en de Raad van de Europese Unie over de nieuwe richtlijn. In november 2022 vond de formele goedkeuring door het Europees Parlement en de Raad plaats. Vanaf dat moment hebben lidstaten achttien maanden om deze regels te implementeren in nationale wetgevingen. Dit betekent dat zij moeten voldoen aan hogere eisen, er strengere toezichtmaatregelen komen en dat sanctiemaatregelen, net als rapportageverplichtingen, tussen lidstaten worden geharmoniseerd. NIS 2 is tenslotte samengesteld om data zo goed mogelijk te beschermen in een maatschappij die een digitale transformatie ondergaat, waarbij het dreigingslandschap uitbreidt en actoren zich niets aantrekken van landsgrenzen.
Governance & risicobeheersing
De noodzaak om cybersecurity beter te regelen, is groter dan ooit. Voor de continuïteit is het daarom essentieel om zo snel mogelijk aan de NIS 2-richtlijn te voldoen. De belangrijkste stappen om te nemen om NIS 2 zo snel mogelijk te implementeren binnen jouw organisatie:
- Breng de risico’s in kaart en maak deze beheersbaar
Dit begint bij inventariseren wat prioriteit heeft en wat niet. Zorgen dat de risico’s zo snel mogelijk in kaart worden gebracht en beheersbaar worden gemaakt, biedt een goede basis tegen cybercriminaliteit. Denk bijvoorbeeld aan het bewustzijn van medewerkers toen iedereen plotseling ging thuiswerken tijdens de pandemie. Op de website van Tesorion vind je zeven concrete basismaatregelen die genomen kunnen worden, tegen zo laag mogelijke kosten, om de basis cyberhygiëne op orde te krijgen. Onthoud altijd dat de vraag niet is of je getroffen wordt, maar wanneer.
- Zorg dat jouw organisatie op de hoogte is van de juridische verplichtingen
Een gevolg van NIS 2 is dat er strenger gecontroleerd wordt op governance. En het niet goed implementeren van deze regeling gaat grotere gevolgen hebben. Er zullen meer controlemomenten of audits door toezichthouders plaatsvinden. Wanneer hieruit blijkt dat organisaties niet voldoen aan de verplichtingen, worden er flinke boetes opgelegd. Er wordt daarnaast ook meer van organisaties zelf verwacht. Zo hebben veel organisaties een meldplicht wanneer er een incident wordt gedetecteerd, vergelijkbaar met de GDPR/AVG. Deze melding moet binnen 24 uur geplaatst worden, gevolgd door een eindverslag uiterlijk een maand later. En zelfs dreigingen moeten worden gemeld.
Daarnaast dwingt NIS 2 je ook om met leveranciers om tafel te gaan. Want wat als er een cyberincident is bij één van jouw leveranciers? Cybercriminelen kunnen via het netwerk van een van jouw (externe) partners ook jouw organisatie binnendringen. Hoe leveranciers en partners hun beveiliging hebben ingeregeld, heeft daarom directe invloed op de eigen beveiliging. Ook hier moeten dus risico’s in kaart worden gebracht en afspraken worden gemaakt. Welke securityeisen worden er aan leveranciers gesteld? Wie is er aansprakelijk voor de (verloren) kosten in het geval van een cyberincident? Dit moet vastgelegd worden in contracten.
Omdat cybersecurity een specifieke discipline is, is het raadzaam om bij het maken van contractuele afspraken gebruik te maken van de kennis van een hierin gespecialiseerde juridische dienstverlener.
- Praktische implementatie
Wanneer de risico’s in kaart zijn gebracht, beheersbaar zijn gemaakt en de juridische verplichtingen duidelijk zijn, is het van belang om de nieuwe regeling binnen het bedrijf te implementeren en continue te meten en te onderhouden. Hierbij is het essentieel dat er organisatiebreed bewustwording wordt gecreëerd rondom NIS 2 en waarom deze zo belangrijk is voor de bedrijfsvoering. Om een plan goed te integreren binnen een organisatie, moeten medewerkers ook de noodzaak inzien en weten wat er van hen verwacht wordt. Maak de risico’s, gevolgen en verwachtingen dus ook duidelijk voor medewerkers, bijvoorbeeld met behulp van e-learning. Cybersecurity moet onderdeel worden van de bedrijfscultuur en geen opgelegde verplichting vanuit de organisatie.
Profijt
De komst van NIS 2 brengt voor veel organisaties veranderingen met zich mee. Het doel is echter iets waar elk bedrijf profijt van heeft, namelijk een veiligere positie in de digitale wereld. Risico’s blijven groeien en kunnen grote schade aanrichten met betrekking tot de continuïteit van jouw organisatie of de organisaties in jouw keten. Zorg dus dat jouw organisatie klaar is voor deze nieuwe richtlijn en de verantwoordelijkheden die deze met zich meebrengt.
(Auteur Marcel de Haan is senior consultant cybersecurity bij Tesorion.)