1. Home
  2. Opleidingen
  3. Big Data en ICT
  4. Opleiding Cybersecurity en informatiebeveiliging
  5. NIS2-richtlijn
Opleiding Cybersecurity en informatiebeveiliging
Inschrijven

Nieuwe NIS2-richtlijn: wat gaat er veranderen?

Om de digitale en economische weerbaarheid van Europese lidstaten te versterken, is eind 2022 de Network and Information Security Directive (NIS2-richtlijn) vastgesteld door de Europese Unie. Lidstaten zijn verplicht om deze NIS2-richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. 

Medio 2024 zijn de concept-wetteksten gereed en krijgen personen, organisaties en sectoren de gelegenheid erop te reageren. Dit geeft organisaties meer inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Uiteindelijk krijgt een groot aantal organisaties in Nederland met deze nieuwe wet te maken.

Wat houdt de nieuwe NIS2-richtlijn precies in?

De nieuwe NIS2-richtlijn schrijft organisaties onderstaande verplichtingen voor:

1. Zorgplicht

De richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling te doen. Op basis daarvan neem je als bedrijf passende maatregelen om jouw diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

2. Meldplicht

De richtlijn schrijft voor dat organisaties incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

3. Toezicht

Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. De Rijksinspectie Digitale Infrastructuur (RDI) wordt toezichthouder voor o.a. de sectoren Energie, Digitale infrastructuur, Overheidsdiensten, Digitale aanbieders en Beheer van ICT-diensten. Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.

Hoe kun je jezelf voorbereiden op de nieuwe NIS2-richtlijn?

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de NIS2-wetgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Om te voldoen aan de zorgplicht, adviseert het Nationaal Cyber Security Centrum NCSC tenminste onderstaande drie stappen te nemen: 

1. Maak een risico-analyse

Digitale dreigingen kunnen grote risico’s met zich meebrengen voor jouw dienstverlening. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risico-analyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s. Vragen die je bij het maken van deze risico-analyse kunnen helpen, zijn:

  • Wat zijn de kroonjuwelen/te beschermen belangen van mijn organisatie?
  • Welke dreigingen zijn er ten opzichte van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van de te beschermen belangen?
  • Hoe verhoudt de huidige weerbaarheid van de te beschermen belangen zich tot de dreigingen?

2. Neem passende maatregelen

Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn, is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de basismaatregelen van het NCSC. Andere voorbeelden van maatregelen zijn:

  • Het vaststellen van eigenaarschap van informatie
  • Het bevorderen van veilig gedrag binnen jouw organisatie
  • Het verankeren van risicomanagement in jouw organisatie

3. Zorg voor procedures om adequaat te reageren op incidenten

Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kun je snel en adequaat reageren wanneer jouw organisatie wordt getroffen. Organisaties die straks onder de NIS2-wetgeving vallen, zijn verplicht om incidenten te melden bij de nationale en/of sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident melding plichtig maken, zijn bijvoorbeeld een verstoring van diensten of het aantal personen dat door het incident getroffen wordt. De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incident response plan kan hierbij helpen.

Welke opleiding biedt uitgebreide informatie over de nieuwe NIS2-richtlijn?

Een zeer geschikte opleiding om jezelf en jouw organisatie klaar te stomen voor de nieuwe NIS2-richtlijn is de post-hbo opleiding Cybersecurity en informatiebeveiliging van Inholland Academy. Deze praktijkgerichte cybersecurity-opleiding is bedoeld voor iedereen die:

  • de ambitie heeft om aan de slag te gaan in een rol in de cybersecurity en informatiebeveiliging. Denk aan functies als: Information Security Officer, Privacy Officer of Security Operations Analist;
  • in zijn werk te maken heeft met privacy, AVG, informatiebeveiliging, BIO (overheid) of ISO27001 (bedrijfsleven) en hier in korte tijd grip op wil krijgen;
  • zichzelf wil omscholen naar dit kansrijke vakgebied;
  • de weerbaarheid van zijn organisatie op het gebied van informatiebeveiliging wil vergroten (ook erg geschikt voor mkb-ondernemers!);
  • in korte tijd de juiste kennis en vaardigheden wil opdoen om zijn of haar organisatie NIS2-compliant te maken.

Om toegelaten te worden tot deze cybersecurity-opleiding ben je in bezit van een hbo-diploma of een gelijkwaardige combinatie van opleiding en praktijkervaring.

Nieuwsgierig? Bekijk hier de post-hbo opleiding Cybersecurity en informatiebeveiliging