De NIS2-richtlijn: de versterking van cyberveiligheid in een digitale wereld, geldt deze ook voor u?

In een tijdperk waarin onze samenleving steeds dieper doordringt in de digitale wereld, ontstaan er nieuwe uitdagingen op het gebied van cyberveiligheid. Steeds vaker hoor je verhalen over cyberaanvallen die organisaties of instanties ontregelen. Om deze dreiging en de gevolgen daarvan zoveel mogelijk in te perken heeft de Europese Unie de ‘’Network and Information Security’’ (NIS-2) richtlijn ingevoerd. Deze richtlijn borduurt voort op de oorspronkelijke NIS-richtlijn uit 2016 en heeft als doel onze digitale diensten en essentiële infrastructuur weerbaarder te maken. NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten en daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. Van Europese landen wordt verwacht dat zij de richtlijn eind 2024 hebben geïmplementeerd in de nationale wetgeving.

Essentiële diensten en digitale dienstverleners

De NIS2-richtlijn maakt in haar toepassingsgebied onderscheid tussen twee categorieën, namelijk ‘essentiële entiteiten’ en ‘belangrijke entiteiten’, zoals aangegeven in de tabel. Het voornaamste onderscheid tussen deze twee categorieën ligt in de mate van financiële sancties, waarbij belangrijke entiteiten zullen worden onderworpen aan mildere sancties en reactief toezicht van de autoriteiten. Daarentegen wordt proactief toezicht voorbehouden aan essentiële entiteiten. Een aantal sectoren werden ook al gedekt door de eerste NIS-richtlijn, maar een belangrijk verschil met de eerste richtlijn is dat de sector ‘’overheid’’ nu binnen het toepassingsbereik van de richtlijn valt. Overheidsinstanties die activiteiten uitvoeren op het gebied van veiligheid, defensie en rechtshandhaving zijn daarbij uitgezonderd.

Essentiele entiteiten
– Energie
– Transport
– Bankwezen
– Infrastructuur fincanciele markt
– Gezondheidszorg
– Drinkwater
– Digitale infrastructuur
– Beheerders van ICT-diensten
– Afvalwater
– Overheidsdiensten
– Ruimtevaart

Belangrijke entiteiten
– Digitale aanbieders
– Post- en koeriersdiensten
– Afvalstoffenbeheer
– Levensmiddelen
– Chemische stoffen
– Onderzoek
– Vervaarding / manufacturing

Verplichtingen onder de NIS2-richtlijn

De NIS2-richtlijn legt een aantal verplichtingen op aan de bovengenoemde entiteiten.

Zorgplicht
Zo zijn zij onder meer verplicht om zelf een risicobeoordeling uit te voeren. Naar aanleiding hiervan moet zij passende technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen.

Meldplicht
Daarnaast schrijft de richtlijn voor dat entiteiten incidenten binnen 24 uur bij de nationale toezichthouder moeten melden, alsmede bij het Computer Security Incident Response Team, die op hun beurt hulp en bijstand kan verlenen hierbij (CSIRT). Omstandigheden die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen betrokken bij de storing op het mogelijke financiële verlies. Verder komen de entiteiten die vallen onder het toepassingsbereik van de richtlijn ook onder toezicht te staan van een onafhankelijk orgaan, die zal bezien of de entiteiten voldoen aan de voornoemde zorg- en meldplicht.

Toezicht
Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.

 

Hoe kunt u zich voorbereiden op de komst van de NIS2-richtlijn?

  1. Vooruitlopend op de komst van de nationale wetgeving is het van belang om eerst na te gaan of u onder deze nieuwe richtlijn valt. Dat is een kwalificatievraagstuk die u het beste bij een expert kunt neerleggen als u twijfels heeft.
  2. Het is verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.
  3. Indien dat bevestigend wordt beantwoord kunt u zich alvast voorbereiden op uw zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van uw processen en diensten verbeteren. Denk bijvoorbeeld aan het opstellen van een incidentenregister, het vóóraf inventariseren en analyseren van bedrijfs- en systeem specifieke risico’s, het opstellen van protocollen voor crisisbeheersing (incident response plan), het identificeren van alternatieve toeleveringsketens, bewustwording van personeel (trainingen) van risico’s en te nemen beveiligingsmaatregelen. ISO certificering 270001 zal dit al in principe bewerkstelligen. Zie ook dit artikel

Mocht u advies of hulp nodig hebben bij de kwalificatie of u onder de NIS 2 valt en bij de toepassing van deze nieuwe richtlijn, schroom dan niet om ons te contacteren via 020-345 0152 of info@thelegalcompany.nl

mr. Hella Vercammen