Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

NIS 2.0

NIS 2.0: Versterking van digitale weerbaarheid in een veranderende wereld

Nagenoeg alle sectoren kenden de afgelopen jaren een enorme digitale revolutie. Digitalisering zorgt voor versnelling, efficiëntie, gemak, plezier en productiviteit. Digitalisering kent helaas ook een keerzijde. Namelijk, een toename van cybercriminaliteit. Vanuit verschillende motieven - vaak financieel - worden steeds meer organisaties aangevallen door cybercriminelen met alle vervelende gevolgen van dien.  

Organisaties nemen dan ook in toenemende mate allerlei ad-hoc en structurele securitymaatregelen. Organisaties kijken daarnaast massaal naar de overheid en andere regelgevende instanties voor hulp en richtlijnen om hun digitale weerbaarheid te versterken. Hierbij blijft de vraag of de overheid klaar is voor deze groeiende uitdaging van snel veranderende cyberdreigingen. Deze ontwikkeling heeft mede geleid tot de ontwikkeling van een nieuwe richtlijn: NIS2. Deze richtlijn is de opvolger van de NIS1 uit 2016 en is aanzienlijk uitgebreid ten opzichte van zijn voorganger. NIS2 is van toepassing bij circa 160.000 bedrijven binnen de Europese Unie. 

Overzicht NIS 2.0: waar ben je naar op zoek?

Wat is NIS en waarom deze maatregel?

Wat houdt NIS 2.0 in?

Welke sectoren hebben met de NIS 2.0 te maken?

Welke acties dienen organisaties te nemen?

Wat betekent de Zorgplicht?

Meldplicht NIS 2.0

Handhaving en sancties

Hulp nodig rondom de NIS 2.0?

Wat is NIS en waarom deze maatregel?

NIS staat voor Network and Information Security en is een richtlijn van de Europese Commissie. De eerste versie (NIS1) uit 2016 was de eerste EU-richtlijn op het gebied van cybersecurity en had als doel om een gemeenschappelijk niveau van beveiliging te creëren binnen alle lidstaten, met name voor organisaties die opereren binnen de vitale infrastructuur, zoals waterschappen en energiebedrijven.  

In 2018 is de richtlijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Rijksinspectie Digitale Infrastructuur is toezichthouder op deze wet. In 2019 is de richtlijn in België geïmplementeerd in de ‘Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid’. Het Centrum voor Cybersecurity België (CCB) is verantwoordelijk voor het toezicht op deze wet. 

Gezien het toenemende aantal cyberaanvallen, die ook nog eens veel geavanceerder zijn dan voorheen, sluit de richtlijn niet goed meer aan bij het actuele dreigingslandschap. De Europese Unie zag zich genoodzaakt om meer uitgebreide maatregelen te nemen met de NIS 2 als resultaat. Het doel van de richtlijn blijft hetzelfde; het creëren van een gezamenlijk niveau aan securitymaatregelen binnen de EU-lidstaten in combinatie met het verbeteren van de samenwerking tussen de lidstaten.  

Om het niveau van cybersecurity binnen Europa te verhogen wordt het toepassingsgebied uitgebreid met meer sectoren en diensten, die voor de economie en samenleving van een land als essentieel of belangrijk worden beschouwd; het wordt dus voor veel meer sectoren van toepassing. Bekijk hier binnen welke sectoren de NIS 2.0 actief is. 

Wat houdt NIS 2.0 in?

Kort samengevat, het creëren van een gezamenlijk niveau aan securitymaatregelen binnen de EU lidstaten in combinatie met het verbeteren van de samenwerking tussen de lidstaten. Om het niveau van cybersecurity binnen Europa te verhogen wordt het toepassingsgebied uitgebreid met meer sectoren en diensten, die voor de economie en samenleving van een land als essentieel of belangrijk worden beschouwd; het wordt dus voor veel meer sectoren van toepassing. De richtlijn is in januari 2023 in werking getreden en verplicht alle EU-lidstaten om de richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. Vanaf oktober 2024 dienen in de regel organisaties met minimaal 50 medewerkers en een minimale jaarlijkse omzet van 10 miljoen euro in diverse sectoren, waaronder financiën, gezondheid en overheidsinstellingen, te kunnen aantonen dat ze voldoen aan de nieuwe richtlijn. Op deze regel zijn enkele uitzonderingen, bijvoorbeeld een organisatie die volgens de richtlijn als ‘belangrijke entiteit’ is aangemerkt, maar minimaal 250 medewerkers en/of een jaaromzet van EUR 50 miljoen heeft, zal worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.

De eisen worden over het algemeen strenger, organisaties krijgen te maken met een meld- en zorgplicht, de securitymaatregelen zijn explicieter, het toezicht op naleving van de richtlijn wordt verscherpt en de boetes voor non-compliance stijgen aanzienlijk. Bovendien wordt het verplicht om niet alleen naar de eigen risico's te kijken, maar ook naar de risico's in de relaties met leveranciers binnen de toeleveringsketen, zoals bijvoorbeeld Managed Services Providers.

Welke acties dienen organisaties te nemen? 

Organisatie kunnen voor zichzelf bepalen of zij onder de NIS-richtlijn vallen, organisaties kunnen ervoor zorgen dat zij op de hoogte zijn van de eisen. Aan de hand van een risicoanalyse en een securityprogramma kunnen organisaties een routekaart opstellen om uiteindelijk compliant te zijn aan de norm.  

NIS 2.0 Assessment

Krijg helderheid over je huidige beveiligingsniveau en ontvang een gedetailleerd plan om dit te versterken.
Vanaf oktober 2024 dienen in de regel organisaties met minimaal 50 medewerkers en een minimale jaarlijkse omzet van 10 miljoen euro in diverse sectoren, waaronder financiën, gezondheid en overheidsinstellingen, te kunnen aantonen dat ze voldoen aan de nieuwe richtlijn.

Welke sectoren hebben met NIS 2.0 te maken?

Het gaat naar schatting om 160.000 organisaties in verschillenden sectoren, verspreid over heel Europa. Wanneer wij bijvoorbeeld alleen al kijken naar het Rotterdamse havengebied krijgen ongeveer 150 bedrijven binnen het Rotterdamse havengebied te maken met NIS 2.0. Onder NIS1 was dit maar één organisatie. Organisaties met minimaal 50 medewerkers en een minimale omzet van 10 miljoen euro zijn ingedeeld in ‘Essentieel’ en ‘Belangrijk’. Voor beide gelden dezelfde eisen en rapportageverplichting. Echter zullen het toezicht en de sancties voor organisaties die als essentieel zijn aangemerkt strenger zijn.

De volgende sectoren worden als ‘Essentieel’ beschouwd:

  • Energie 
  • Transport  
  • Banken 
  • Ruimtevaart 
  • Gezondheidzorg en zorg-gerelateerd 
  • Drink – en afvalwater voorziening 
  • Afval water 
  • Digitale infrastructuren 
  • Overheidsdiensten 
  • Financiële instellingen 

De volgende sectoren worden als ‘Belangrijk’ beschouwd

  • Online marktplaatsen 
  • Online zoekdiensten 
  • Sociale netwerk diensten 
  • Voedingsmiddelen industrie, inclusief de distributie van voedingsmiddelen 
  • Afvalverwerking 
  • Post en koeriersdiensten 
  • Fabrikanten van chemische producten 
  • Fabrikanten van medische hulpmiddelen 
  • Fabrikanten van elektronische producten, machines, voertuigen en transportmiddelen 

Wat betekent de Zorgplicht?

Alle organisaties die als essentieel of belangrijk worden aangemerkt krijgen dus te maken met een zogenaamde zorgplicht. Deze zorgplicht houdt in dat zij een reeks specifieke securitymaatregelen moeten implementeren om de veiligheid van hun netwerk- en informatiesystemen te waarborgen.  

Enkele van de belangrijkste vereisten zijn: 

  • Risicoanalyses: Organisaties zullen regelmatig een grondige risicoanalyse moeten uitvoeren om ervoor te zorgen dat ze voldoende aandacht besteden aan de beveiliging van hun informatiesystemen. Dit bevat ook het identificeren en evalueren van mogelijke kwetsbaarheden. 
  • Securityprogramma: Op basis van geïdentificeerde risico’s dienen organisaties te beschikken over een duurzaam en dynamisch securityprogramma. Dit programma bevat enerzijds een reeks technische en organisatorische securitymaatregelen en anderzijds een overzicht van security standaarden die aan leveranciers worden opgelegd. Organisaties dienen hun securityprogramma’s continu te testen op effectiviteit. 
  • Crisismanagement: In het geval van een geslaagde cyberaanval, dienen organisaties een up-to-date crisismanagementplan te hebben. Dit plan dient te beschrijven hoe ze operationele continuïteit kunnen waarborgen en effectief kunnen reageren op de crisis. Organisaties dienen hun plannen regelmatig te testen op effectiviteit. 
  • Veiligheid van toeleveringsketen: De zorgplicht strekt zich ook uit tot het waarborgen van de veiligheid van de toeleveringsketen. Dit betekent dat organisaties verantwoordelijk zijn voor het beoordelen en beheren van de security risico’s die voortvloeien uit de relaties met leveranciers.  
  • Netwerk- en informatiesystemen: Organisaties moeten zich inzetten voor de veiligheid van hun netwerk- en informatiesystemen door middel van het nemen preventieve securitymaatregelen, zoals netwerksegmentatie, data encryptie, multifactor authenticatie, Identity & Access Management, Back-up en Recovery, vulnerability management, patchmanagement en security incident management.  
  • Security awareness: Het management van een organisatie zal kennis moeten hebben van de genomen maatregelen, zal ze aantoonbaar moeten goedkeuren en zelf ook regelmatig security awareness trainingen moeten volgen.   

Het is belangrijk op te merken dat de Europese Commissie het recht behoudt om deze maatregelen nader te specificeren en aan te vullen via gedelegeerde- en uitvoeringsbesluiten. Dit geeft lidstaten de flexibiliteit om specifieke maatregelen op te leggen, rekening houdend met nationale en sectorale omstandigheden. 

Whitepaper

Hoe zet je een duurzaam security programma op

Met een duurzaam securityprogramma ben je proactief, verminder je risico’s en wapen je jezelf tegen cyberincidenten.

Meldplicht NIS 2.0  

Naast de zorgplicht introduceert NIS2 ook een meldplicht. Deze meldplicht houdt in dat organisaties, zodra ze zich bewust worden van een cyberincident, verplicht zijn om hier binnen 24 uur een eerste melding van te maken bij de aangewezen instantie. Deze eerste melding is erop gericht om verdere verspreiding van incidenten te voorkomen en de organisatie in staat te stellen om hulp in te schakelen. 

Deze eerste melding dient binnen een maand na het incident gevolgd te worden door een tweede melding, die bestaat uit een meer gedetailleerd dossier rapport. De tweede melding heeft als doel om te leren van het incident om volgende soortgelijke incidenten in hoeverre mogelijk te voorkomen. 

De meldplicht stelt dus, dat organisaties niet alleen verantwoordelijk zijn voor het implementeren van preventieve maatregelen, maar ook voor het snel en adequaat reageren op cyber incidenten. Dit stelt autoriteiten in staat om proactief te handelen bij het identificeren en aanpakken van cyberdreigingen. 

Handhaving en sancties 

Binnen NIS2 worden niet alleen strengere eisen gesteld, maar ook een duidelijk set aan handhavingsmaatregelen geïmplementeerd die ervoor moeten zorgen dat organisaties zich aan deze eisen houden. De Europese Unie heeft een lijst samengesteld met minimale handhavingsmaatregelen die toezichthouders kunnen gebruiken. De handhaving voor organisaties die zijn aangemerkt als essentiële entiteit zal proactief zijn. Voor organisaties die zijn aangemerkt als belangrijke entiteit zal de handhaving reactief zijn. Reactief betekent hier, wanneer een organisatie te maken heeft gehad met een geslaagde cyber aanval, zal de toezichthouder onderzoeken of de betreffende organisatie aan zijn of haar zorgplicht heeft voldaan.   

Om de naleving van de normen te beoordelen kunnen toezichthouders inspecties, reguliere, ad hoc en specifieke security audits en scans uitvoeren. Organisaties kan ook worden gevraagd om informatie te verstrekken waarmee de toezichthouder hun securityprogramma kan beoordelen. Het is zeer belangrijk dat organisaties deze handhavingsmaatregelen serieus nemen en zich goed voor bereiden op mogelijke inspecties en audits.  

NIS2 introduceert eveneens strenge sancties en boetes voor organisaties die in gebreke blijven bij de naleving van de voorschriften. Het handhavingsproces begint meestal met een waarschuwing en een dringend verzoek om de vereiste maatregelen te nemen en aantoonbaar te maken.  

Wanneer een organisatie om welke reden dan ook non-compliant blijft, kan de toezichthouder zwaardere maatregelen nemen, waaronder: 

  • Openbaarmaking: De toezichthouder kan eisen dat een organisatie openbaar maakt dat zij niet voldoen aan de normen. 
  • Boetes: Boetes kunnen worden opgelegd en deze kunnen aanzienlijk zijn. Ze kunnen oplopen tot maximaal EUR 10 miljoen euro of 2% van de jaaromzet van de organisatie. 
  • Bestuurdersaansprakelijkheid: Bestuurders van organisaties zijn niet alleen verantwoordelijk voor de naleving van de richtlijn, maar kunnen ook aansprakelijk worden gesteld voor het niet voldoen eraan. Deze ontwikkeling benadrukt het belang van cybersecurity op bestuurlijk niveau en zal naar verwachting de bewustwording en urgentie voor securitymaatregelen aanzienlijk versnellen. Het naleven van normen is niet langer een keuze; het is een verplichting die heel serieus moet worden genomen. 

NIS 2.0 Assessment

Krijg helderheid over je huidige beveiligingsniveau en ontvang een gedetailleerd plan om dit te versterken.

Hoe nu verder?

De eisen worden over het algemeen strenger, organisaties krijgen te maken met een meld- en zorgplicht, de securitymaatregelen zijn explicieter, het toezicht op naleving van de richtlijn wordt verscherpt en de boetes voor non-compliance stijgen aanzienlijk. Bovendien wordt het verplicht om niet alleen naar de eigen risico's te kijken, maar ook naar de risico's in de relaties met leveranciers binnen de toeleveringsketen, zoals bijvoorbeeld Managed Services Providers. Wij beschouwen dit allemaal als een positieve ontwikkeling. Het toont aan dat de overheid cyberdreigingen zeer serieus neemt en maatregelen neemt om organisaties te beschermen.  

Echter, zou een richtlijn of zelfs een wet nu moeten bepalen of een organisatie wel of geen securitymaatregelen neemt? Securitymaatregelen neem je om een veilige en ononderbroken bedrijfsvoering te waarborgen en omdat je als organisatie als een goed huisvader met bedrijfsinformatie wilt omgaan? Het is ook niet verstandig om op een richtlijn te wachten. Cybercriminelen wachten immers niet tot een organisatie haar digitale weerbaarheid volgens een norm of richtlijn heeft ingericht. Ze zijn 24/7 actief en zoeken voortdurend naar kwetsbaarheden bij bedrijven in diverse sectoren. 

Er zijn inmiddels tal van hulpmiddelen beschikbaar voor het uitvoeren van een GAP-analyse en veel organisatie richten (een deel) van hun bescherming al in volgens normen zoals de Baseline Informatie Overheid (BIO), de Good Practice Informatiebeveiliging van de Nederlandsche Bank en normen als ISO27001 of NEN7510. Deze normen die kunnen helpen om sneller compliant te zijn aan NIS2.  

Wortell Enterprise Security is een strategische, snel groeiende, volwassen en betrouwbare divisie binnen Wortell en staat voor een holistische en geïntegreerde benadering, waarbij geen onderscheid wordt gemaakt tussen basis- en aanvullende securitymaatregelen. Of het nu gaat om risicoanalyses, identiteits- en toegangsbeheer, netwerksegmentatie, data protectie, vulnerability management, security awareness, of het 24/7 monitoren en detecteren van potentiële cyber incidenten - onze benadering verbindt ze naadloos met elkaar. Het is een samenspel van elementen die op elkaar afgestemd moeten zijn voor optimale bescherming. 

Van de uitvoer van een NIS 2.0 assessment, het opmaken van een duurzaam en dynamisch securityprogramma, het implementeren van basis securitymaatregelen, het monitoren en detecteren van kwetsbaarheden en security incidenten tot aan het inrichten van duurzaam crisis management. Samen met de organisatie bepalen wij wat relevant en de meest effectieve benadering is.  

Hulp nodig bij het interpreteren van NIS2 en/of het nemen van maatregelen? Neem dan gerust contact met ons op. 

Next level beveiliging

Managed Detection and Response

Cybersecurity als next level beveiliging tegen alle bedreigingen van buitenaf.