Een duik in de NIS2-richtlijn, van kracht in oktober 2024

De NIS2-richtlijn markeert een belangrijke vooruitgang in het cybersecurity-landschap van de Europese Unie, voortbouwend op het fundament gelegd door zijn voorganger, de oorspronkelijke NIS-richtlijn. Het voornaamste doel van NIS2 is het instellen van een hoog volwassenheidsniveau van gemeenschappelijke cybersecurity best practices voor organisaties, met name om de evoluerende uitdagingen in het digitale tijdperk aan te pakken en te zorgen voor meer weerbaarheid op lokaal, nationaal als Europees niveau.

NIS2, waarvan hier de Europese richtlijnen te vinden zijn. reikt verder dan de oorspronkelijke richtlijn en omvat een breder scala van sectoren en entiteiten die binnen de richtlijnen vallen. Het betreft nu organisaties die als ‘essentieel’ of ‘belangrijk’ worden beschouwd voor de economie en de samenleving. Deze uitbreiding is een belangrijke stap om een weerbaarder Europa te maken. In oktober 2024 zal de NIS2 officieel van kracht zijn. Tot die tijd krijgt de Nederlandse overheid om de richtlijnen te vertalen in wet- en regelgeving die specifiek van toepassing is op Nederland.

Organisaties zijn essentieel in de volgende situaties:

• Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie deze pagina van het NCSC voor het actuele overzicht),
• Een organisatie is groot op basis van de volgende criteria:
  1. minimaal 250 werknemers of;
  2. een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Organisties zijn belangrijk in de volgende situaties:

• Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II (zie deze pagina van het NCSC voor het actuele overzicht),
• Een organisatie is middelgroot op basis van de volgende criteria:
  1. minimaal 50 werknemers of;
  2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Maatregelen voor het beheren van risico’s
Organisaties zijn verplicht uitgebreide en logische maatregelen te nemen voor het beheer van cybersecurity-risico’s. Deze maatregelen gaan onder andere over het uitvoeren van risicoanalyses, incidentenafhandeling, het plannen van bedrijfscontinuïteit, de beveiliging van de toeleveringsketen en naleving van cybersecurity best practices.

NIS2 introduceert zogeheten gefaseerde meldingsverplichtingen voor incidenten met een significante impact op de organisatie. De melding moet gemaakt worden bij een overheidsinstantie in Nederland welke nog geselecteerd zal worden. Dit zal een CSIRT zijn, een Computer Security Incident Response Team. Organisaties moeten dergelijke incidenten onmiddellijk melden aan de relevante autoriteiten, met het oog op transparantie en een snelle reactie op cyberdreigingen. De fases zien er als volgt uit:

• Binnen 24 uur na het incident moet een eerste melding, de early warning geheten, gedaan worden;
• Binnen 72 uur na het incident moet een officiële notificatie gegeven worden. Dit moet een beoordeling van het incident, de impact en verdere bruikbare informatie bevatten;
• Het CSIRT kan aanvullend informatie opvragen, waarbij de organisatie dit zo snel mogelijk moet aanleveren;
• Binnen één maand na het incident moet een formeel rapport aangeleverd worden of, indien het incident nog actueel is, een statusrapport. Er is nog niet bekend wat de inhoud van dit rapport moet bevatten.

Toezicht en handhaving
NIS2 geeft handhavingsbevoegdheden en straffen voor niet-naleving aan, waarbij de ernst van de cybersecurity-verantwoordelijkheden van entiteiten wordt benadrukt. Voor essentiële entiteiten kunnen de boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten zijn de bedragen niet veel lager: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet

Belangrijk: bestuurders en directieleden zullen persoonlijk aansprakelijk gesteld worden in het geval van niet-naleving. Dit houdt in dat deze personen op persoonlijke titel een geldboete kunnen ontvangen. Op het moment van schrijven is niet bekend hoe hier invulling aan gegeven gaat worden en hoe hoog deze boetes mogelijk kunnen zijn.

Wat moet er nu concreet gedaan worden?
In oktober 2024 zullen organisaties in Nederland moeten voldoen aan de NIS2-richtlijnen. Hier heerst nog veel onduidelijkheid over, omdat de richtlijnen nog niet ‘omgezet’ zijn naar Nederlandse wet- en regelgeving. Desondanks kunnen organisaties zich prima voorbereiden door te richten op de volgende zaken:

1. Begrijp de wet- en regelgeving voor de organisatie ​- Wees bewust van de richtlijnen en beoordeel of je organisatie wel/niet binnen de richtlijnen vallen.
2. Beoordeel de mogelijkheden om te voldoen aan NIS2​ – Bekijk wat er gedaan moet worden om te voldoen aan de NIS2-richtlijnen.
3. Focus op cyber weerbaarheid – Het NCSC adviseert op het moment van schrijven dat organisaties aantoonbaar voldoen aan de NIS2 richtlijnen door een erkend cybersecurity framework te implementeren. Dit gaat bijvoorbeeld over ISO 27001:2022 of over NIST 800-53. In Nederland is met name ISO een welbekend framework. ​
4. Ontwikkel een dreigings- en kwetsbaarheden process – Binnen IT- en OT-apparatuur kunnen kwetsbaarheden aanwezig zijn. Binnen NIS2 wordt veel aandacht besteed aan het inrichten van processen om deze potentiële dreigingen en kwetsbaarheden ​actief te monitoren en hier snel op te reageren.
5. Maak afspraken omtrent uitbesteding – Voor organisaties die hun IT-beheer hebben uitbesteed aan een externe partij is het belangrijk dat zij afspraken maken. Een groot deel van de IT-beheerders valt binnen de NIS2-richtlijnen, wat de cyberweerbaarheid alleen maar verhoogt. Desondanks is het belangrijk dat praktische afspraken gemaakt worden, waaronder de snelheid omtrent het reageren op kwetsbaarheden en het verkrijgen van inzicht in de cybersecurity statussen van de organisatie.
   

CW Greenport biedt haar leden ondersteuning
Eén van de sectoren waarop de NIS2-richtlijnen van toepassing zullen zijn, bestaat uit de sector levensmiddelen. Dit houdt in dat een groot deel van de deelnemers aan CW Greenport binnen de scope van NIS2 vallen. CW Greenport ondersteunt hen door verschillende activiteiten, van kennissessies (onder andere specifiek over NIS2) tot aan het delen van dreigingsinformatie, en ook het bieden van templates en best practices tot aan het beschikbaar hebben van een Digitaal Loket om snel in contact te komen met één van onze cybersecurity experts.