NIS2 veranderingen of NI(K)S nieuws onder de zon?

Historie NIS en NIS2

De NIS-richtlijn uit 2016 was de eerste EU-wet voor netwerk- en informatiebeveiliging. NIS staat voor Network & Information Systems. De vitale sectoren die onder de eerste NIS-richtlijn van 2016 vielen, waren: energie, transport, banken en financiën, gezondheidszorg en digitale dienstverleners. De NIS1-richtlijn van 2016 is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet is in 2018 in werking getreden en omvat onder andere de meldplicht voor incidenten en de eisen voor beveiliging van netwerk- en informatiesystemen.

De NIS2-richtlijn is op 28 december 2020 in werking getreden en de Europese lidstaten hebben tot eind 2024 de tijd om de NIS2 richtlijn op te nemen in nationale wetgeving. Lidstaten hadden vanaf dat moment 18 maanden de tijd om deze in hun nationale wetgeving te implementeren. De implementatie van de NIS2-richtlijn zal naar verwachting worden opgenomen in een nieuwe versie van de Wbni.

Wat was de reden voor een vernieuwing van de richtlijn:

• De COVID-19-pandemie heeft geleid tot een toename van cyberaanvallen en nieuwe cybersecurityrisico’s.
• De harmonisatie van cybersecuritymaatregelen is noodzakelijk vanwege de groeiende afhankelijkheid van netwerk- en informatiesystemen in verschillende sectoren.
• Het vergroten van de veerkracht van netwerk- en informatiesystemen is belangrijk om cyberaanvallen en andere verstoringen te voorkomen en de samenleving en economie te beschermen.

Essentiele sectoren en belangrijke sectoren

De eerste NIS richtlijn geldt voor essentiële sectoren en dit is een redelijk beperkte set aan organisaties. De NIS2-richtlijn gaat gelden voor veel meer organisaties, met als onderscheid essentiële bedrijven en belangrijke bedrijven. Op deze site van de NCSC staat duidelijk beschreven wat de kenmerken om wel of niet onder de NIS2 te vallen. In het algemeen geldt dat organisaties waarbij de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving als essentieel worden aangemerkt. Essentiële entiteiten vallen onder een intensiever regime van toezicht, namelijk zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor organisaties die als belangrijke entiteit zijn aangemerkt, geldt een lichtere vorm van toezicht die alleen achteraf plaatsvindt, bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

Scope van cybersecurity

Organisaties moeten aan verschillende eisen voldoen als zij binnen de NIS2 vallen. Deze scope van maatregelen is sterk uitgebreid ten opzichte van de eerste NIS-richtlijn. In deze scope vallen onder andere:

• Risicoanalyse en beveiliging van informatiesystemen
• Medewerkers trainen in cyberbeveiliging
• Evaluatie en bijwerken van cybersecuritybeleid
• Beveiliging van de toeleveringsketen
• Veiligheidsmaatregelen bij het ontwikkelen en onderhouden van netwerk- en informatiesystemen
• Beleid voor toegangsbeheer en activabeheer
• Encryptie en cryptografie geïmplementeerd
• Multifactor authenticatie waar nodig
• Kwetsbaarhedenmanagement
• Monitoring en incidentresponse
• Bedrijfscontinuïteitsplannen

Organisaties die de NIS2-richtlijn niet naleven, kunnen boetes en andere sancties opgelegd krijgen door autoriteiten. De directie aansprakelijkheid wordt uitgebreid met cybersecurity.

Cloud providers en digitale dienstverleners, zoals PQR, vallen onder de NIS2. PQR is momenteel bezig met het koppelen van de NIS2-richtlijnen aan de security- en informatiebeveiligingsstandaarden die PQR hanteert, waaronder CIS Benchmarks, NIST800-53, TSP sectie 100 en ISO27001.

Wat is er voor nieuws onder de zon met NIS2?

In de afgelopen jaren hebben organisaties en bedrijven veel meer aandacht voor cyberbeveiliging gekregen. Hoewel de volwassenheid op het gebied van IT-security nogal wisselt per organisatie, is vrijwel iedereen ermee bezig. NIS2 zorgt voor een aanscherping van deze ontwikkeling en geeft vanuit de wetgeving urgentie om hier aantoonbaar mee aan de slag te gaan.

Het zal dus per bedrijf of organisatie verschillen of er veel of weinig nieuws onder de zon is met NIS2.

Belangrijk is dat NIS2 geen IT-feestje is. Bepaalde technische maatregelen moeten worden geïmplementeerd in de IT-omgeving, maar ook op organisatorisch niveau is er actie nodig, bijvoorbeeld op het gebied van security awareness van medewerkers.

Veel van onze klanten vallen in de essentiële organisaties in het kader van de NIS2. Onze security experts kunnen helpen bij het verbeteren van de weerbaarheid van de IT-omgeving en ervoor zorgen dat organisaties een proactieve benadering van cybersecurity aannemen om aan de NIS2-richtlijn te voldoen. Op deze manier wordt de kans op en impact van cybersecurity-incidenten geminimaliseerd. Echter ook voor bedrijven die niet als belangrijk of essentieel zijn aangemerkt, is het cruciaal om de beveiliging op orde te hebben. Het aantal incidenten is sterk toegenomen en de gevolgen kunnen zich als een olievlek verspreiden.

Als lid van de Commissie Cybersecurity van NLdigital denk ik mee over de implementatie van NIS2 in Nederland. Als u meer wilt weten hierover, stuur me een bericht.

Blog van Sander Heinhuis, Security & Compliance Director bij PQR