De NIS2-richtlijn bouwt voort op NIS 1 en voegt in de kern meer sectoren toe aan ‘essentiële diensten’. Wat betekent dit voor Nederlandse organisaties?
De tweede generatie van de Europese Network and Information Systems (NIS2)-richtlijn zal dit jaar in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard.
Allereerst is het goed om het verschil tussen de NIS2 en de NIB2 te begrijpen. Het betreft hier geen ingewikkeld verhaal; de NIB2 is gewoon de Nederlandse vertaling van de NIS2. Dus of het nu gaat over de ‘network and information systems-richtlijn’ of de ‘netwerk- en informatiebeveiliging-richtlijn’, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor interpretatie. De overheid is druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien, is nog even afwachten.
Wel kunnen we ervan uitgaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ is er dus (veel) werk aan de winkel.
Het ziet er dus naar uit dat organisaties in tal van sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit is gelijk te trekken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.
Vitale sectoren
De noodzaak om de cyberweerbaarheid van essentiële diensten te vergroten, is voor de hand liggend. Over de afgelopen jaren zien we een stijgende lijn in het aantal organisaties dat te maken heeft met cyberaanvallen. Daarnaast zien we ook een stijging in de schade en impact van een succesvolle aanval. De NIS2-richtlijn is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.
Onder de originele NIS vielen sectoren zoals energie, drinkwater en banken. De NIS2 breidt het lijstje met vitale sectoren aardig uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. In Nederland zal dit neerkomen op zo’n zesduizend extra organisaties die moeten gaan voldoen aan de nieuwe wetgeving. Op dit moment wordt er nog flink gediscussieerd over welke bedrijven hier onder vallen en welke niet. Zo staat er nog niet vast welke definitie van een managed service provider er gehanteerd zal gaan worden.
De verwachting is dat de NIS eind dit jaar wordt vastgesteld op Europees niveau. Zodra dit rond is, hebben de lidstaten 21 maanden de tijd om de wetgeving rond te krijgen. Dat klinkt lang, maar voor een wet van dit formaat is dat een redelijk korte termijn.
Meer veiligheid, minder vrijheid
De NIS2 is een grote stap in de goede richting als het om cybersecurity gaat. Wel valt er een bepaalde mate van vrijheid weg. Momenteel is het cybersecurity-landschap onder bedrijven erg gefragmenteerd. Bedrijven kiezen zelf in welke mate ze iets aan cybersecurity doen of niet. Door een richtlijn te implementeren neem je deze vrijheid weg, maar je weet wel zeker dat delen van de infrastructuur goed beveiligd zijn.
De meldplicht zal de cyberweerbaarheid verhogen. In de huidige situatie hoeft een organisatie alleen melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Dit gaat dus veranderen.
Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.
Maar ook de zorgplicht zal het een en ander gaan vragen van organisaties. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Er kan bijvoorbeeld geëist worden dat bedrijven moeten voldoen aan de ISO 27001-norm. Dit zal voor veel bedrijven betekenen dat ze flink moeten gaan investeren. Er wordt gesproken over een omzetplafond dat kleinere bedrijven hiervan vrijstelt, maar deze organisaties lopen dan nog net zoveel risico als voorheen.
Zorgplicht
Organisaties waarop de NIS2 van toepassing is, krijgen dus aardig wat voor hun kiezen. De verschillende plichten vragen veel investeringen. Zo is een belangrijk onderdeel van de zorgplicht het monitoren van de systemen. Dit gebeurt doorgaans in een security operation center (soc) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een soc als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel soc op te hoeven zetten. Daarnaast bieden deze cybersecurity-partijen vaak aanvullende diensten om de cyberweerbaarheid te vergroten.
Maar ook wanneer een organisatie niet binnen de scope van de NIS2 valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt. Ook deze organisaties kunnen veel leren van de plichten en eisen die in de nieuwe wet zullen worden opgenomen. De NIS kan dan werken als vliegwiel en andere organisatie meekrijgen, waardoor heel Nederland er sterker voor komt te staan op het gebied van cybersecurity.
De NIS2 is onvermijdelijk en het is daarom belangrijk om te kijken of je als organisatie binnen de scope valt. Als dat zo is, dan is het verstandig om zo snel mogelijk aan de slag te gaan want het kan veel tijd kosten om uit te zoeken wat de nieuwe wet voor jou gaat betekenen. Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.
(Met dank aan collega Eric van Loon, manager security consultancy bij Pinewood.)