De impact van NIS2; verhoogde cybersecurity eisen

De oorlog in Oekraïne en de toenemende cyberaanvallen op vitale infrastructuur, zoals energieorganisaties en ziekenhuizen, vergroten het bewustzijn van de essentiële rol van de digitale wereld in onze samenleving.

Met de nieuwe NIS2-richtlijn wordt een beveiligingsbeleid tegen deze dreigingen afgedwongen. Dit beleid zal een aanzienlijke impact hebben op de governance, security en IT-budgetten van organisaties. Het is daarom van groot belang om de richtlijnen van NIS2 te begrijpen en tijdig stappen te ondernemen om hieraan te voldoen.

In dit artikel bespreken we wat NIS2 precies inhoudt en wat de gevolgen zijn voor organisaties in Nederland.

Wat is NIS2?

NIS2, de Europese richtlijn voor Netwerk- en Informatiesystemen, stelt strengere eisen aan organisaties binnen de EU. Het doel is een uniforme, hoge cybersecuritystandaard te garanderen, zodat organisaties beter zijn voorbereid op steeds complexere cyberdreigingen.

De verantwoordelijkheid wordt bij bestuurders belegd, en verplichtingen worden uitgebreid naar sectoren zoals de gezondheidszorg, digitale infrastructuur, overheidsinstellingen en waterschappen. Organisaties die niet voldoen aan de eisen, riskeren niet alleen aanzienlijke boetes, maar ook bestuurders worden hoofdelijk aansprakelijk gehouden en kunnen ze persoonlijk boetes krijgen.

Van IT-feestje naar Governance verantwoordelijkheid

Waar cybersecurity voorheen vooral een taak van de IT-afdeling was, verschuift de verantwoordelijkheid onder NIS2 naar de gehele organisatie en met name naar de governance-structuur. Het is daarom verstandig de governance zo in te richten dat een CISO of Compliance Officer directe toegang heeft tot het bestuur en de rechtspersoon in het kader van cybersecurity.

Wat zijn de belangrijkste wijzigingen en uitbreidingen?

1. Uitgebreid toepassingsgebied:
   NIS2 breidt de reikwijdte van de oorspronkelijke richtlijn aanzienlijk uit, waardoor veel meer organisaties aan deze NIS2-richtlijnen moeten voldoen. Waar voorheen alleen de sectoren zoals energieorganisaties en banken onder de regelgeving vielen, vallen nu ook sectoren zoals de gezondheidszorg, digitale infrastructuur, overheidsinstellingen en waterschappen onder deze richtlijnen.
2. Versterkte beveiligingseisen:
   Beveiligingseisen worden opgevoerd voor organisaties. Dit betekent dat organisaties geavanceerde maatregelen moeten implementeren om hun netwerken en gegevens te beschermen. Denk aan versleuteling van data, continue monitoring van netwerken en robuust incidentmanagement.
3. Strengere rapportageverplichtingen
   Organisaties moeten significante incidenten binnen 24 uur melden aan de relevante autoriteiten. Deze verscherpte rapportageverplichtingen zijn bedoeld om een snellere en effectievere respons op cyberdreigingen mogelijk te maken.
4. Sancties en handhaving:
   De boetes voor niet-naleving van de NIS2-richtlijn zijn aanzienlijk. Organisaties kunnen boetes krijgen die oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bovendien kunnen bestuurders hoofdelijk aansprakelijk worden gesteld voor nalatigheid in de naleving van de richtlijn. NIS2 heeft in art. 20 deze hoofdelijke aansprakelijkheid verankerd.

Hoe wordt jouw bedrijf NIS2-compliant?

Om te voldoen aan de NIS2-richtlijn moeten organisaties hun huidige cybersecuritymaatregelen kritisch evalueren en versterken. Dit betekent het implementeren van een robuust risicobeheer, het aanscherpen van toegangscontrole en het ontwikkelen van gedetailleerde incidentresponsplannen.

Daarnaast is ketenverantwoordelijkheid een belangrijk onderdeel: organisaties zijn niet alleen verantwoordelijk voor hun eigen beveiliging, maar ook voor die van leveranciers en partners. Het afnemen van diensten door leveranciers (uitbesteden of outsourcen) gaat niet zonder risico’s. Entiteiten moeten ook de risico’s rondom deze uitbestede diensten opnemen in de risico gebaseerde aanpak. Organisaties worden dus ook verantwoordelijk voor de beveiliging van de producten en diensten die ze inkopen.

Rol van ISO27001 binnen NIS2

NIS2 in art. 21 lid 1 geeft aan dat er drie type maatregelen zijn: technische, operationele en organisatorische maatregelen. ISO27001 hanteert in haar annex alleen technische en organisatorische. Operationele maatregelen ontbreken. Samengevat is te stellen dat het gebruik van ISO27001 een basis wordt gelegd maar dat aanvullende zaken toegevoegd moeten worden om te kunnen voldoen aan art. 21 lid 1 NIS2.

Proserve en NIS2

Cybersecurity staat bij Proserve hoog in het vaandel. Wij hebben cybersecurity in onze processen en werkwijze geïmplementeerd. Zo hebben we een solide basis gelegd van technische, operationele en organisatorische maatregelen. Hierdoor kunnen wij ook vrij eenvoudig aan de NIS2-eisen voldoen en zijn wij goed voorbereid op de toekomst van cybersecurity.