Wereldwijd neemt de stijging van cyberincidenten en aanvallen al jaren toe. Met name de nieuwe ontwikkelingen op AI-gebied zorgen er (helaas) ook voor dat cybercriminelen slimmer te werk gaan en nieuwe manieren bedenken om organisaties op te lichten.

In Europa is een NIS (Network and Information Systems) wetgeving in het leven geroepen om het gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen te verhogen. Maar vanaf 18 oktokber 2024 gaat er een uitbreiding van de huidige wetgeving van start: De NIS2. Deze nieuwe wet heeft een groter toepassingsgebied, waardoor er meer organisaties verplicht worden om maatregelen te nemen. In deze blog gaan we het hebben over welke organisaties de nieuwe wetgeving raakt, de belangrijkste wijzigingen en wat dat voor jouw organisatie betekent.

Wat is de NIS?

De huidige NIS wet draagt bij aan een hoog niveau van beveiliging van netwerk- en informatiesystemen. De NIS1 is in 2016 gepubliceerd en geldt vooral voor zogenoemde ‘essentiële’ bedrijven; bedrijven die onmisbare functies voor de samenleving vervullen, zoals leveranciers van stroom, netwerk of water. De NIS1-richtlijn verplicht hun al enkele jaren om maatregelen te nemen die de cyberweerbaarheid verhogen.

NIS 2

De NIS2-richtlijn is in mei 2022 in het leven geroepen door de Europese Commissie. De NIS2 is kent een ruimere scope dan de NIS1 en is van toepassing op meer bedrijven. Bijvoorbeeld bij de maakindustrie voor kritische producten, managed service partners en zorgverleners. Doordat er meer sectoren worden opgenomen in de nieuwe richtlijn, zijn er meer bedrijven die verplicht worden beveiligingsmaatregelen te nemen. Doe je dit niet, dan staan daar flinke sancties op.

-De aandacht voor de bestuursorganen van bedrijven die onder de NIS2-richtlijn vallen, wordt versterkt, met het doel hen aansprakelijk te stellen in geval van problemen.

-De eisen voor beveiliging van bedrijven worden aangescherpt, inclusief een benadering voor het beheren van risico’s en het implementeren van voornaamste cybersecurity-maatregelen.

-Differentiatie tussen diverse diensten wordt in de NIS2 niet langer gehanteerd; in plaats daarvan worden organisaties beoordeeld op basis van hun relevantie en opgesplitst in categorieën van essentieel en belangrijk belang.

-Bedrijven dienen incidenten nu te rapporteren, en er worden strengere straffen opgelegd aan ondernemingen die zich niet aan de voorschriften houden.

-Bedrijven dienen tevens de veiligheidsrisico’s in hun toeleveringsketens en met hun leveranciers aan te pakken.

-Nationale autoriteiten ondergaan intensiever toezicht, en er wordt gestreefd naar verhoogde samenwerking tussen lidstaten om de algehele veiligheid te verbeteren.

Belangrijkste eisen van de NIS2

Ondernemingen die onder de NIS2-richtlijn vallen, dienen gepaste stappen te ondernemen om hun cyberbeveiliging te versterken en incidenten te rapporteren aan nationale instanties. Hieronder valt het opstellen van beveiligingsprotocollen en plannen voor incidentrespons, het bewaken van netwerken en systemen, het uitvoeren van risico-evaluaties en het trainen van personeel in cyberveiligheid. Voor een compleet overzicht verwijzen we je graag door naar art. 21 lid 2 van de Richtlijn.

Voor wie geldt de NIS2?

De NIS2 geldt voor alle (middel)grote organisaties in Europa die belangrijke diensten aan consumenten leveren. Zoals in de bijlagen van de NIS2-richtlijn opgenomen wordt er onderscheid gemaakt tussen essentiële en belangrijke sectoren. Voor beide sectoren gelden dezelfde eisen voor cybersecurity en rapportage, echter verschilt het niveau van toezicht en sancties.

Essentiële sectoren:
Energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (Business to Business), overheid en ruimtevaart.

Belangrijke sectoren:
Post- en koeriersdiensten, afvalstoffenbeheer, chemische sector, levensmiddelensector, maaksector (specifieke takken daarbinnen), digitale aanbieders (zoals marktplaatsen), onderzoeksorganisaties.

Er zijn uitzonderingen voor kleinere organisaties die niet aan de specifieke omvangcriteria voldoen (een jaarlijkse omzet van maximaal 10 miljoen euro en minder dan 50 medewerkers).

(Financiële) sancties

De sancties die gekoppeld zijn aan de NIS2-richtlijn hangen af van het feit of een bedrijf gekenmerkt wordt als essentiële of belangrijke identiteit. Voor essentiële identiteiten zijn de boetes gebaseerd op een minimum van tien miljoen euro of twee procent van de totale omzet, afhankelijk van wat hoger uitvalt. Belangrijke identiteiten kunnen een boete tegemoet zien van minimaal zeven miljoen euro of 1,4 procent van e omzet.

Bovendien bestaat er individuele en mogelijke strafrechtelijke verantwoordelijkheid voor leidinggevenden wanneer zij hun verplichtingen volgens de richtlijn niet nakomen. Essentiële entiteiten kunnen een voortdurend toezicht verwachten, met inbegrip van audits, verplichte rapportage en evaluaties. Voor belangrijke entiteiten kan er toezicht zijn, met verplichte audits en rapportage, wanneer regels binnen de organisatie niet worden nageleefd.

Voorbereiden op NIS-2

Hier zijn enkele stappen die je kunt nemen om je organisatie voor te bereiden op de NIS2-richtlijn:

Voer een analyse uit. Breng je huidige niveau van cybersecurity in kaart en identificeer eventuele tekortkomingen, risico’s en bedreigingen.

Lijst met maatregelen opstellen. Stel een lijst op met maatregelen die nodig zijn om aan de NIS2-wetgeving te voldoen.

Implementeer security maatregelen. Implementeer de nodige beveiligingsmaatregelen die voldoen aan de eisen van de richtlijn.

Stel een incident response plan op. Ontwerp een incident response plan met duidelijke rollen, verantwoordelijkheden en procedures, zodat duidelijk is hoe gehandeld dient te worden in het geval van een incident.

Testen en evaluatie. Test en evalueer regelmatig je cybersecurity maatregelen en incident response plan.

Awareness en training. Creëer bewustzijn in je organisatie over cybercrime en leer je medewerkers hoe zich veilig te gedragen op de werkvloer.

Rapportage. Ontwikkel interne procedures voor het rapporteren van incidenten.

Hoe kunnen wij helpen?

Wil je meer weten over dit onderwerp? Of ben je benieuwd in hoeverre jouw organisatie klaar is voor NIS2? Neem dan contact met ons op.