BLOG – Het ene na het andere bedrijf ziet zich getroffen door een cyberaanval of is slachtoffer van een datalek. Het gevolg? De persoonsgegevens van duizenden Nederlanders op straat. Het is dan ook geen verrassing dat de digitale veiligheid van onze samenleving onder druk staat om data te beveiligen. De vernieuwde Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIS2) gaat de strijd aan met dit ongekend hoge dreigingsniveau.
De NIS2-richtlijn moet in oktober 2024 een nationale wetgeving worden, maar de overheid heeft al aangegeven deze deadline niet te halen. Het omzetten van de richtlijn naar een nationale wetgeving duurt langer dan verwacht. Daarnaast blijkt dat veel Nederlandse bedrijven de ernst van de cyberdreiging onderschatten en de NIS2-richtlijn geen prioriteit vinden, zelfs als ze te maken kunnen krijgen met hoge sancties zoals boetes, de kans op omzetverlies en reputatieschade.
De vernieuwde richtlijn is het antwoord op een serieuze behoefte
De dreiging blijft echter toenemen en de tijd dringt, want cybercriminelen worden – onder meer door het gebruik van ai – steeds slimmer en gaan brutaler te werk om bedrijfsdata in handen te krijgen. Organisaties kunnen niet wachten tot de nationale wetgeving er uiteindelijk is en moeten nú beginnen met de voorbereiding. De risico’s die organisaties lopen zijn er nu immers ook al. De eerste stap? De ernst van de situatie onder ogen zien.
Waarom komt de NIS2-richtlijn?
Hoewel veel Nederlandse organisaties de NIS2-richtlijn geen prioriteit vinden, is dit wel degelijk een grote noodzaak. De initiële NIS-wetgeving die in 2016 van kracht ging, ook wel bekend als de NIB (Netwerk- en Informatiebeveiliging) voldoet niet meer aan het dreigingslandchap waar we vandaag de dag mee te maken hebben. Zo is de vernieuwde NIS2 richtlijn ook van toepassing op een groter aantal organisaties, zoals organisaties die essentiële of belangrijke diensten bijdragen aan de Europese economie en samenleving. De richtlijn bevat ook strengere verplichtingen voor het melden van incidenten.
Ook de Europese Commissie ziet dat bedrijven zich onvoldoende bewust zijn van de ernst van deze dreigingen. Dit leidt tot aanzienlijke verschillen in cyberweerbaarheid tussen zowel lidstaten als sectoren. NIS2 is bedoeld om het reactievermogen en de cyberweerbaarheid van de private en publieke organisaties in alle EU-lidstaten te verbeteren én onder controle te houden. De vernieuwde richtlijn is dan ook het antwoord op een serieuze behoefte.
Voor wie geldt NIS2?
NIS2 is van toepassing op alle organisaties die essentiële diensten leveren aan de economie en samenleving van EU-landen, inclusief publieke organisaties, de energie- en transportsector, financiële sector, gezondheidszorg, digitale infrastructuur, en beheerders van ict-diensten en aanbieders van digitale diensten. Een verschil tussen NIS1 en NIS2 is dat ook overheidsinstellingen zich aan de richtlijn moeten houden.
Wat als NIS2 niet wordt nageleefd?
Wie niet aan NIS2 voldoet, loopt het risico op hoge financiële sancties gebaseerd op de wereldwijde omzet. Voor bedrijven die als essentieel zijn aangemerkt, kan dit oplopen tot tien miljoen euro of twee procent van de totale jaaromzet. Voor bedrijven die als belangrijk worden beschouwd, kan de boete oplopen tot zeven miljoen euro of vier procent van de jaaromzet. Dit risico is nóg een reden voor bedrijven om te bepalen of ze moeten voldoen aan NIS2. Vooral omdat er geen vooraf vastgestelde lijst is die aangeeft welke bedrijven onder NIS2 vallen. Het is daarom aan de bedrijven zelf om te beoordelen of ze aan de criteria voldoen.
Wat zijn de verplichtingen van NIS2?
De sectoren die onder de NIS2-richtlijn vallen moeten de volgende verplichtingen naleven:
- Zorgplicht
Organisaties zijn verplicht om een grondige risicoanalyse uit te voeren, waarbij de potentiële risico’s voor de netwerk- en informatiesystemen van je organisatie worden geëvalueerd. Organisaties moeten maatregelen nemen om de continuïteit van diensten te waarborgen en informatie te beschermen.
Deze risicoanalyse en het nemen van de gepaste maatregelen is cruciaal. Met name continuïteit van de bedrijfsvorming is een grote valkuil. Veel organisaties beschikken momenteel niet over voldoende cyberweerbaarheid, vertrouwen vaak volledig op traditionele databack-ups én gaan ervan uit dat cloudproviders de nodige (data-)security bieden. Maar om volledig weerbaar te zijn tegen cyberincidenten moeten organisaties de operationele weerbaarheid en herstelplannen continu zélf testen en monitoren. Door een GAP-analyse uit te voeren kom je erachter in hoeverre het huidige beleid en de securitymaatregelen van een organisatie al op peil zijn en waar eventuele tekortkomingen zijn.
- Meldplicht
Organisaties die onder de NIS2-wetgeving vallen moeten incidenten binnen 24 uur aan de toezichthoudende autoriteit rapporteren. Vooral incidenten die aanzienlijke verstoringen veroorzaken in essentiële dienstverlening moeten worden gerapporteerd. In sommige gevallen moeten cyberincidenten ook gemeld worden aan de Nederlandse nationale Cyber Security Incident Response Team (CSIRT).
- Toezicht
Organisaties die onder de NIS2-richtlijn vallen, komen onder toezicht te staan. Er wordt een onafhankelijke toezichthouder aangesteld, die controleert of een organisatie voldoet aan de zorg- en meldplicht. Momenteel wordt bepaald welke sectoren door welke toezichthouder zullen worden gecontroleerd en wat dit toezicht precies zal inhouden.
Ondanks de vertraging van NIS2-wetgeving blijft de noodzaak om adequaat te reageren op de groeiende cyberdreiging onverminderd hoog. Het is nu aan organisaties om de urgentie van de situatie te erkennen en actie te ondernemen. Door te focussen op het waarborgen van bedrijfscontinuïteit en cyberweerbaarheid, wordt een digitale infrastructuur gecreëerd die is opgewassen tegen het voortdurend veranderende cyberlandschap.
Filip Verloy is field cto EMEA bij Rubrik
