NIS2 Richtlijn: Wat u moet weten

De samenleving en economie worden steeds afhankelijker van digitale processen en netwerk- en informatiesystemen. Tegelijkertijd neemt de cyberdreiging toe, waardoor digitale weerbaarheid steeds belangrijker is. De NIS2-richtlijn is ontworpen om de digitale weerbaarheid van essentiële en belangrijke organisaties te vergroten, waardoor de cyberveiligheid in de Europese Unie naar een hoger niveau wordt gebracht.

Cyberbeveiligingswet

In Nederland wordt de Europese NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet.
Het NCSC geeft aan dat de Cyberbeveiligingswet naar verwachting in 2025 in werking zal treden. Organisaties die onder de Cyberbeveiligingswet vallen moeten op dat moment aan deze wet voldoen. Ondanks het feit dat de Cyberbeveiligingswet nog niet definitief is, bestaat er al wel een duidelijk beeld van de te verwachten regelgeving.

Valt uw organisatie onder de Cyberbeveiligingswet?

Organisaties vallen automatisch onder de NIS2-richtlijn en daarmee ook onder de Cyberbeveiligingswet als zij actief zijn in een van de volgende sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Sectoren categorie 1:
  • Energie
  • Transport
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Beheerders van ICT-diensten
  • Bankwezen
Sectoren categorie 2:
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging/manufacturing
Essentiële entiteiten
  • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit.
  • Grote organisaties die actief zijn in een sector uit categorie 1.
  • Een organisatie is groot op basis van de volgende criteria:
    • minimaal 250 werknemers of;
    • een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten
  • Middelgrote organisaties die actief zijn in een sector uit categorie 1 en middelgrote en grote organisaties die actief zijn in een sector uit categorie 2.
  • Een organisatie is middelgroot op basis van de volgende criteria:
    • minimaal 50 werknemers of;
    • een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Micro- en kleinbedrijven

Micro- en kleinbedrijven vallen in principe niet onder de cyberbeveiligingswet. Echter wanneer uit een risicoanalyse blijkt dat de dienstverlening van zo’n bedrijf van cruciaal belang is voor de Nederlandse economie of maatschappij, kan de verantwoordelijke minister er alsnog voor kiezen om deze bedrijven onder de cyberbeveiligingswet te laten vallen. In zo een geval worden deze bedrijven hierover door het desbetreffende ministerie geïnformeerd.

Mijn organisatie valt niet onder de Cyberbeveiligingswet

Wanneer uw organisatie niet onder de hierboven genoemde criteria valt en daarmee niet onder de Cyberbeveiligingswet, betekent dit niet dat cybersecurity geen aandacht behoeft. Hudson Cybertec adviseert u om, op basis van een risicoanalyse, toch een aantal best practices door te voeren. Dit biedt uw organisatie bescherming tegen de toenemende cyberdreigingen.

Daarnaast heeft het implementeren van cybersecuritymaatregelen ook strategische voordelen. Steeds vaker stellen bedrijven de eis dat hun partners voldoen aan erkende cybersecuritynormen, zoals IEC 62443 of ISO 27001. Bovendien bent u zo goed voorbereid op eventuele toekomstige regelgevingen of op wanneer uw organisatie groeit of uitbreidt naar sectoren die wel onder de Cyberbeveiligingswet vallen.

Verplichtingen

De belangrijkste verplichtingen uit de NIS2 die ook in de Cyberbeveiligingswet worden overgenomen zijn:

1. Registratieplicht

Voor de organisaties die onder de Cyberbeveiligingswet vallen geldt een registratieplicht. Deze registratieplicht houdt in dat organisaties zichzelf moeten registreren in het entiteitenregister. Het Nationaal Cyber Security Centrum wordt momenteel aan een online registratievoorziening.

2. Zorgplicht

Organisaties moeten een risicoanalyse uitvoeren. Op basis van deze analyse dienen ze maatregelen te implementeren om de continuïteit van hun diensten te waarborgen en de informatie die zij gebruiken te beschermen.

3. Melden van Incidenten

Organisaties zijn verplicht om incidenten die de continuïteit van hun diensten aanzienlijk verstoren binnen 24 uur te melden bij de toezichthoudende autoriteit. Als dit incident een cybersecurity incident is dan moet deze ook gerapporteerd worden aan het Cyber Security Incident Response Team (CSIRT). Of een incident valt onder deze meldplicht hangt af van verschillende factoren, zoals het aantal getroffen personen, de duur van de verstoring en de potentiële financiële schade.

4. Toezicht

Organisaties die onder de NIS2-richtlijn vallen, worden onderworpen aan toezicht. De toezichthoudende instantie controleert de naleving van de verplichtingen, zoals de zorgplicht en de meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthoudende instanties vallen.

Voorbereiding

De zorgplicht is de meest voor de hand liggende start voor organisaties die zich nu al willen voorbereiden op de komende Cyberbeveiligingswet.

In artikel 20 en 21 van de NIS2-richtlijn wordt deze zorgplicht verder uitgewerkt. Artikel 20 van de NIS2-richtlijn gaat over de cybersecurity governance (toezicht en bestuur) van organisaties. Artikel 21 verplicht organisaties om passende cybersecurity maatregelen te nemen om de cybersecurity risico’s voor organisaties te beheersen, om incidenten te voorkomen of de impact van een incident te minimaliseren.

Een aantal specifieke onderwerpen die in artikel 21 benoemd worden zijn:

  • Een risicoanalyse en beveiliging van informatiesystemen;
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  • Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  • Incidentenbehandeling;
  • Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  • Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  • Beveiliging van de toeleveranciersketen;
  • Beleid en procedures over het gebruik van cryptografie en encryptie;
  • Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
  • Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Wacht niet af!

Wij adviseren organisaties om niet af te wachten totdat de Cyberbeveiligingswet in werking treedt. De risico’s die organisaties en systemen lopen zijn er nu ook al.

Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Hudson Cybertec kan u helpen!

Hudson Cybertec biedt ondersteuning bij het verkrijgen van inzicht in uw huidige naleving van Artikel 20 en 21 van de NIS2 door middel van een compliance-assessment. Op deze manier krijgt u snel inzicht in uw huidige situatie en toont u aan de toezichthouder dat u een belangrijke eerste stap heeft gezet richting compliance met de NIS2-richtlijn.

Neem contact met ons op voor meer informatie over hoe wij u kunnen helpen bij het navigeren door de NIS2 en het verbeteren van uw cyberbeveiliging.

In de spotlight

Wet- en regelgeving zoals de aankomende Europese NIS2 directive (Network & Information Security) verplicht u aantoonbaar in controle te zijn over uw OT omgeving.

Met een BIACS (Basismaatregelen voor cybersecurity van Industriële Automatisering & Controle Systemen) scan of CSIR (Cybersecurity Implementatierichtlijn) scan zorgt u ervoor dat u aantoonbaar in controle komt over uw OT omgeving.

IEC 62443 norm

De IEC 62443 norm biedt uw organisatie handvatten voor het verbeteren van de digitale beveiliging en veiligheid van uw IACS-omgeving. Implementatie van de norm verbetert het cybersecurityniveau van de OT-/ICS-/SCADA-omgeving van uw organisatie.

De IEC 62443 is het internationale cybersecurity normenkader voor de operationele technologie (OT). Het kader bestaat uit een verzameling van normen, technische rapporten en gerelateerde informatie voor het beveiligen van Industrial Automation and Control Systems (IACS).

lees meer

Het IEC 62443 Competence Center van Hudson Cybertec heeft een zeer ruime ervaring met deze norm. Wij spelen een actieve rol in de ontwikkeling van de norm, in samenwerking met de NEN, dragen deze internationaal actief uit en hebben een trainingsprogramma ontwikkeld rondom de IEC 62443.

lees meer

Het wordt voor organisaties steeds belangrijker om aan te kunnen tonen dat de digitale security van de OT-omgeving in overeenstemming is met normenkaders. Het is dan ook mogelijk om (delen) van uw IACS-omgeving te certificeren volgens de IEC 62443.

lees meer

Wanneer u meer wilt weten over deze norm en behoefte heeft aan training voor het toepassen ervan binnen uw eigen organisatie of bij uw opdrachtgevers, dan heeft Hudson Cybertec een aantal zeer interessante trainingen voor u.

lees meer

De IEC 62443 norm biedt organisaties handvatten voor het verbeteren van de digitale beveiliging en veiligheid van OT-/ICS-/SCADA-omgevingen.

lees meer

Hoe digitaal veilig is uw organisatie?

Benieuwd naar de mogelijkheden? Neem dan contact met ons op!

Neem contact op

Nieuwsbrief

Schrijf u in voor onze nieuwsbrief. We houden u dan op de hoogte van de laatste ontwikkelingen rondom onze dienstverlening op gebied van cybersecurity.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
© 2024 Hudson Cybertec Kiwa member of
Privacy en cookies | Responsible Disclosure