NIS2 - ook belangrijk voor u!

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

Op wie is NIS2 van toepassing?

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

De NIS2-richtlijn is van toepassing op de volgende sectoren:

  • Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
  • Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

De richtlijn is van toepassing op organisaties binnen deze sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

Organisaties waarop de NIS2-richtlijn van toepassing is worden minimaal als “belangrijke entiteit” aangemerkt. Echter, organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.

Het is dus van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

Wat zijn de belangrijkste onderwerpen?

Voor de organisaties die onder de NIS2-richtlijn vallen, legt de richtlijn risicobeheer- en rapportageverplichtingen op. Aangezien de richtlijn nog moet worden vertaald naar nationale wetgeving, erkent het NCSC dat er op dit moment enige onduidelijkheid bestaat over de specifieke verplichtingen waarmee deze organisaties te maken krijgen. Op basis van analyse van de NIS2-richtlijn zou uw organisatie in ieder geval aandacht moeten besteden aan de volgende onderwerpen: risico-eigenaarschap, beveiligingsvereisten, beveiliging van de toeleveringsketen, en het melden van incidenten.

Onderwerp 1: risico-eigenaarschap

Onder NIS2 dient het bestuur een cruciale en actieve rol te hebben in het waarborgen van de naleving van de vereisten op het gebied van risicobeheersing. Volgens NIS2 dient het bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Het bestuur dient verder trainingen te volgen om voldoende kennis en vaardigheden op te doen om invulling aan hun verantwoordelijkheden te geven.

Onderwerp 2: beveiligingsvereisten

Artikel 21 van de NIS2 richtlijn bevat een lijst van maatregelen voor het beheer van cyberbeveiligingsrisico’s die essentiële en belangrijke entiteiten moeten treffen om hun netwerk en informatiesystemen te beschermen. Een aantal van deze maatregelen zijn incidentbehandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken op het gebied van cyberhygiëne en beleid en procedures inzake het gebruik van encryptie.

Onderwerp 3: beveiliging van de toeleveringsketen

Indien uw organisatie onder de NIS2 richtlijn valt, is de beveiliging van de toeleveringsketen één van de maatregelen voor het beheer van cyberbeveiligingsrisico’s, zoals hierboven benoemd, om specifiek aandacht aan te besteden. Als onderdeel van deze maatregel, moet uw organisatie kijken naar beveiliging gerelateerde aspecten van de relaties met leveranciers en dienstverleners. Dit omvat, onder andere, de taak om kwetsbaarheden met betrekking tot de leveranciers en dienstverleners te identificeren. Een ander aspect om naar te kijken is de kwaliteit van de producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelprocedures.

Onderwerp 4: het melden van incidenten

In het geval van een significant incident moeten essentiële en belangrijke entiteiten het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit binnen 24 uur een vroegtijdige waarschuwing geven en binnen 72 uur het incident melden. Bovendien moet de organisatie haar klanten informeren over incidenten die de levering van de dienst nadelig kunnen beïnvloeden. Significante incidenten worden in de richtlijn gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, evenals aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft.

Toezicht en handhaving

De NIS2-richtlijn voorziet in zowel toezichts- als handhavingsmaatregelen. Essentiële entiteiten kunnen, onder andere, inspecties ter plaatse, toezicht buiten de locatie, en beveiligingsscans, verwachten. Dit geldt ook voor belangrijke entiteiten, maar alleen als er bewijs, aanwijzingen of informatie is dat de belangrijke entiteit niet zou voldoen aan de richtlijn. Handhavingsmaatregelen omvatten waarschuwingen, bindende instructies en administratieve boetes tot EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet van de organisatie. Het bestuur van essentiële entiteiten kan ook te maken krijgen met persoonlijke aansprakelijkheid en een tijdelijk verbod om leidinggevende functies uit de oefenen.

Wat zijn de vervolgstappen?

Als uw organisatie onder de NIS2-richtlijn valt, is het van belang vroeg te beginnen met de voorbereidingen, omdat sommige van de hierboven genoemde onderwerpen tijd kosten om te implementeren.

Bij de voorbereidingen op NIS2 moet uw organisatie rekening houden met andere EUrichtlijnen en -verordeningen. Denk hierbij aan de Directive on the Resilience of Critical Entities (CER), Cyber Resilience Act (CRA), AI Act, en Digital Operational Resilience Act (DORA), die elkaar kunnen overlappen in verplichtingen. Zo kan het proces voor het melden van incidenten dat voor GDPR is ontwikkeld als basis gebruikt worden om te voldoen aan de eisen die NIS2 op dit gebied stelt. Door het tegelijkertijd aanpakken van meerdere EUrichtlijnen en -verordeningen of door voort te bouwen op reeds ontwikkelde processen in overeenstemming met andere EU-richtlijnen of -verordeningen, kunnen dubbele inspanningen voorkomen worden.

Ondanks dat er nog enige onduidelijkheid is over de implementatie van NIS2 in de Nederlandse wetgeving, kunnen wij ondersteunen bij het identificeren van de nodige acties om uw organisatie te helpen met het zetten van de eerste stappen. Onze aanpak bevat onder andere:

  • Een health check voor het creëren van een hoog-over overzicht van de voornaamste aandachtspunten van uw organisatie voor NIS2.
  • Een readiness assessment voor het identificeren van de volgende stappen en het opzetten van een roadmap voor uw organisatie.
  • De implementatie van security capabilities, waaronder incident response, third-party risk management en training.

Of neem direct contact op voor advies van één van onze specialisten

 

Uitgelichte topics

003-cloud-computing-2

Het belang van Cybersecurity in de Cloud

Het belang van Cybersecurity wordt steeds groter, vooral met de groei van Cloudtechnologieën. Deze technologieën brengen nieuwe uitdagingen met zich mee voor de beveiligingsteams van organisaties. De Cloud is enorm, complex en verandert snel. Alles wat in de Cloud draait, kan in principe toegankelijk zijn voor iedereen. Als een hacker eenmaal toegang heeft tot één deel van de Cloud, kan hij gemakkelijk naar andere delen gaan en daar schade aanrichten. Dit wordt een aanvalspad genoemd.

Lees verder
cybersecurity

Hoe vitale infrastructuren zich wapenen tegen Cyber Threats

In onze moderne digitale wereld zijn bedrijven steeds meer afhankelijk van geavanceerde technologieën. Het is daarom cruciaal geworden om de belangrijke infrastructuur te beschermen tegen cyberaanvallen. Wanneer operationele technologie (OT) en informatietechnologie (IT) samenkomen, brengt dit niet alleen nieuwe voordelen met zich mee, maar ook nieuwe risico's. Dit artikel gaat dieper in op hoe Vulnerability Management en Detectie en Respons (VM/DR) helpen bij het beschermen van bedrijven tegen cyberaanvallen.

Lees verder
008-warning

Phishing: de verschillende soorten en tegenmaatregelen

Phishing, een sluwe vorm van cybercriminaliteit, heeft zich geëvolueerd tot een veelzijdige bedreiging met verschillende gedaantes. Hackers doen zich bij deze vorm van cybercriminaliteit voor als een betrouwbaar persoon of organisatie en proberen zo gevoelige informatie te stelen van hun slachtoffers (denk aan inloggegevens, creditcardnummers, maar ook persoonlijke informatie om later te gebruiken in een vervolg actie of bijvoorbeeld Whaling*) door middel van Social Engineering.

Lees verder