NIS2 Richtlijn: Wat u moet weten
De samenleving en economie worden steeds afhankelijker van digitale processen en netwerk- en informatiesystemen. Tegelijkertijd neemt de cyberdreiging toe, waardoor digitale weerbaarheid steeds belangrijker is. De NIS2-richtlijn is ontworpen om de digitale weerbaarheid van essentiële en belangrijke organisaties te vergroten, waardoor de cyberveiligheid in de Europese Unie naar een hoger niveau wordt gebracht.
Cyberbeveiligingswet
In Nederland wordt de Europese NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet.
Het NCSC geeft aan dat de Cyberbeveiligingswet naar verwachting in 2025 in werking zal treden. Organisaties die onder de Cyberbeveiligingswet vallen moeten op dat moment aan deze wet voldoen. Ondanks het feit dat de Cyberbeveiligingswet nog niet definitief is, bestaat er al wel een duidelijk beeld van de te verwachten regelgeving.
Valt uw organisatie onder de Cyberbeveiligingswet?
Organisaties vallen automatisch onder de NIS2-richtlijn en daarmee ook onder de Cyberbeveiligingswet als zij actief zijn in een van de volgende sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Sectoren categorie 1:
- Energie
- Transport
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Beheerders van ICT-diensten
- Bankwezen
Sectoren categorie 2:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging/manufacturing
Essentiële entiteiten
- Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit.
- Grote organisaties die actief zijn in een sector uit categorie 1.
- Een organisatie is groot op basis van de volgende criteria:
- minimaal 250 werknemers of;
- een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector uit categorie 1 en middelgrote en grote organisaties die actief zijn in een sector uit categorie 2.
- Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Micro- en kleinbedrijven
Micro- en kleinbedrijven vallen in principe niet onder de cyberbeveiligingswet. Echter wanneer uit een risicoanalyse blijkt dat de dienstverlening van zo’n bedrijf van cruciaal belang is voor de Nederlandse economie of maatschappij, kan de verantwoordelijke minister er alsnog voor kiezen om deze bedrijven onder de cyberbeveiligingswet te laten vallen. In zo een geval worden deze bedrijven hierover door het desbetreffende ministerie geïnformeerd.
Mijn organisatie valt niet onder de Cyberbeveiligingswet
Wanneer uw organisatie niet onder de hierboven genoemde criteria valt en daarmee niet onder de Cyberbeveiligingswet, betekent dit niet dat cybersecurity geen aandacht behoeft. Hudson Cybertec adviseert u om, op basis van een risicoanalyse, toch een aantal best practices door te voeren. Dit biedt uw organisatie bescherming tegen de toenemende cyberdreigingen.
Daarnaast heeft het implementeren van cybersecuritymaatregelen ook strategische voordelen. Steeds vaker stellen bedrijven de eis dat hun partners voldoen aan erkende cybersecuritynormen, zoals IEC 62443 of ISO 27001. Bovendien bent u zo goed voorbereid op eventuele toekomstige regelgevingen of op wanneer uw organisatie groeit of uitbreidt naar sectoren die wel onder de Cyberbeveiligingswet vallen.
Verplichtingen
De belangrijkste verplichtingen uit de NIS2 die ook in de Cyberbeveiligingswet worden overgenomen zijn:
1. Registratieplicht
Voor de organisaties die onder de Cyberbeveiligingswet vallen geldt een registratieplicht. Deze registratieplicht houdt in dat organisaties zichzelf moeten registreren in het entiteitenregister. Het Nationaal Cyber Security Centrum wordt momenteel aan een online registratievoorziening.
2. Zorgplicht
Organisaties moeten een risicoanalyse uitvoeren. Op basis van deze analyse dienen ze maatregelen te implementeren om de continuïteit van hun diensten te waarborgen en de informatie die zij gebruiken te beschermen.
3. Melden van Incidenten
Organisaties zijn verplicht om incidenten die de continuïteit van hun diensten aanzienlijk verstoren binnen 24 uur te melden bij de toezichthoudende autoriteit. Als dit incident een cybersecurity incident is dan moet deze ook gerapporteerd worden aan het Cyber Security Incident Response Team (CSIRT). Of een incident valt onder deze meldplicht hangt af van verschillende factoren, zoals het aantal getroffen personen, de duur van de verstoring en de potentiële financiële schade.
4. Toezicht
Organisaties die onder de NIS2-richtlijn vallen, worden onderworpen aan toezicht. De toezichthoudende instantie controleert de naleving van de verplichtingen, zoals de zorgplicht en de meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthoudende instanties vallen.
Voorbereiding
De zorgplicht is de meest voor de hand liggende start voor organisaties die zich nu al willen voorbereiden op de komende Cyberbeveiligingswet.
In artikel 20 en 21 van de NIS2-richtlijn wordt deze zorgplicht verder uitgewerkt. Artikel 20 van de NIS2-richtlijn gaat over de cybersecurity governance (toezicht en bestuur) van organisaties. Artikel 21 verplicht organisaties om passende cybersecurity maatregelen te nemen om de cybersecurity risico’s voor organisaties te beheersen, om incidenten te voorkomen of de impact van een incident te minimaliseren.
Een aantal specifieke onderwerpen die in artikel 21 benoemd worden zijn:
- Een risicoanalyse en beveiliging van informatiesystemen;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Incidentenbehandeling;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beveiliging van de toeleveranciersketen;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.
Wacht niet af!
Wij adviseren organisaties om niet af te wachten totdat de Cyberbeveiligingswet in werking treedt. De risico’s die organisaties en systemen lopen zijn er nu ook al.
Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.
Hudson Cybertec kan u helpen!
Hudson Cybertec biedt ondersteuning bij het verkrijgen van inzicht in uw huidige naleving van Artikel 20 en 21 van de NIS2 door middel van een compliance-assessment. Op deze manier krijgt u snel inzicht in uw huidige situatie en toont u aan de toezichthouder dat u een belangrijke eerste stap heeft gezet richting compliance met de NIS2-richtlijn.
Neem contact met ons op voor meer informatie over hoe wij u kunnen helpen bij het navigeren door de NIS2 en het verbeteren van uw cyberbeveiliging.