Om de digitale en economische weerbaarheid van Europese lidstaten te versterken, is eind 2022 de Network and Information Security Directive (NIS2-richtlijn) vastgesteld door de Europese Unie. Lidstaten zijn verplicht om deze NIS2-richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.
Medio 2024 zijn de concept-wetteksten gereed en krijgen personen, organisaties en sectoren de gelegenheid erop te reageren. Dit geeft organisaties meer inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Uiteindelijk krijgt een groot aantal organisaties in Nederland met deze nieuwe wet te maken.
De nieuwe NIS2-richtlijn schrijft organisaties onderstaande verplichtingen voor:
De richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling te doen. Op basis daarvan neem je als bedrijf passende maatregelen om jouw diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
De richtlijn schrijft voor dat organisaties incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. De Rijksinspectie Digitale Infrastructuur (RDI) wordt toezichthouder voor o.a. de sectoren Energie, Digitale infrastructuur, Overheidsdiensten, Digitale aanbieders en Beheer van ICT-diensten. Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de NIS2-wetgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Om te voldoen aan de zorgplicht, adviseert het Nationaal Cyber Security Centrum NCSC tenminste onderstaande drie stappen te nemen:
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor jouw dienstverlening. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risico-analyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s. Vragen die je bij het maken van deze risico-analyse kunnen helpen, zijn:
Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn, is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de basismaatregelen van het NCSC. Andere voorbeelden van maatregelen zijn:
Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kun je snel en adequaat reageren wanneer jouw organisatie wordt getroffen. Organisaties die straks onder de NIS2-wetgeving vallen, zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken, zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt. De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incident response plan kan hierbij helpen.
Een zeer geschikte opleiding om jezelf en jouw organisatie klaar te stomen voor de nieuwe NIS2-richtlijn is de post-hbo opleiding Cybersecurity en informatiebeveiliging van Inholland Academy. Deze praktijkgerichte cybersecurity-opleiding is bedoeld voor iedereen die:
Om toegelaten te worden tot deze cybersecurity-opleiding ben je in bezit van een hbo-diploma of een gelijkwaardige combinatie van opleiding en praktijkervaring.
Nieuwsgierig? Bekijk hier de post-hbo opleiding Cybersecurity en informatiebeveiliging