NIS2-richtlijn
2024 belooft het jaar te worden van NIS2. De invoering van de nieuwe regels verloopt in Nederland echter trager dan in ander landen, maar de deadline staat vast. In januari 2025 zal NIS2 voor veel (IT-)bedrijven gaan gelden.
De Network and Information Security Directive (NIS2-richtijn), de opvolger van de eerste NIS-richtlijn, in Nederland ook wel bekend als de NIB, richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.
In januari 2023 is de implementatietermijn gestart en is onze Rijksoverheid bezig aan de nationale implementatie van NIS2 door de richtlijn om te zetten naar Nederlandse wetgeving.
Network and Information Systems
De oorspronkelijke NIS (Network and Information Systems’ verwijst naar de Europese richtlijn over beveiliging van netwerk- en informatiesystemen). De NIS-richtlijn heeft als doel de beveiliging van kritieke infrastructuur en digitale dienstverleners in de Europese Unie te waarborgen.
Door het vaststellen van normen en verplichtingen streeft de NIS-richtlijn ernaar de veerkracht van de EU tegen cyberdreigingen te vergroten en een consistent niveau van beveiliging te waarborgen binnen de lidstaten. Het is een belangrijke wetgeving om de toenemende dreigingen op het gebied van cybersecurity aan te pakken.
Cyberaanvallen
Het aantal cyberaanvallen is de laatste jaren schrikbarend toegenomen. Phishing, ransomware en malware vormen grote dreigingen. Dit leidde tot een update van de NIS, namelijk NIS2 en die moet voor veel meer organisaties gaan gelden. Zo moet er nauwkeuriger worden gemeld wat onder passende maatregelen om incidenten te voorkomen zou moeten vallen. Per 17 oktober van dit jaar moeten de EU-lidstaten de regels vertaald hebben naar nationale wetgeving.
Consultatieronde
De nationale parlementen moeten de wet eerst aannemen, maar Nederland heeft gekozen voor een consultatieronde. Die consultatieronde is begin dit jaar gestart. Een periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die door de Rijksoverheid is voorbereiding is genomen. NIS2 gaat pas van kracht na goedkeuring door de Tweede en Eerste Kamer. Organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
Sectoren
De NIS2 richtlijn gaat gelden voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij. Denk aan gezondheidszorg, transport, energieaanbieders, overheidsdiensten, waterbeheerbedrijven, levensmiddelen en digitale aanbieders. De NIS2-richtlijn richt zich op organisaties die als middelgroot en groot worden aangemerkt, wat wil zeggen organisaties met meer dan 50 werknemers en/of een omzet van meer dan 10 miljoen euro per jaar.
Verplichtingen
Enkele belangrijke verplichtingen waaraan een organisatie moet voldoen zijn:
- Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp- en bijstand verlenen.
- Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.
- Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.
Door het vaststellen van deze normen en verplichtingen streeft de NIS-richtlijn ernaar de veerkracht van de EU tegen cyberdreigingen te vergroten en een consistent niveau van beveiliging te waarborgen binnen de lidstaten. Het is een belangrijke wetgeving om de toenemende dreigingen op het gebied van cybersecurity aan te pakken.
Voorbereidingen op de NIS2-richtlijn door organisaties blijkt in de praktijk tegen te vallen. Een flink aantal bedrijven en organisaties zullen te maken krijgen met deze richtlijn. De richtlijn voorziet in maatregelen die niet alleen bescherming bieden tegen cyberaanvallen. Incidenten zoals diefstal, overstromingen, uitval van telecommunicatienetwerken en stroomstoringen hebben ook een grote impact op de netwerk- en informatiesystemen. Het in kaart brengen van alle potentiële risico’s binnen jouw organisatie is dan ook van essentieel belang! Denk aan het trainen van personeel, het implementeren van beveiligingsmechanismen, het beheren van toegang en het tijdig installeren van de juiste beveiligingsupdates. Phished helpt organisaties om te voldoen aan de eisen van de NIS2-richtlijn met een uitgebreide opleidingstool voor medewerkers.