De nieuwe NIS2-richtlijn. Wat je als operationeel verantwoordelijke moet weten

In onze snel evoluerende digitale wereld wordt cyberbeveiliging steeds belangrijker. Reden voor de Europese Commissie om al in 2016 de NIS-richtlijn voor te stellen. Deze richtlijn, onderdeel van de EU-cyberbeveiligingsstrategie, had als doel de cyberbeveiliging in de hele EU te verbeteren. Inmiddels is de NIS2-richtlijn gepubliceerd. In deze blog vertelt Marc Both, security-specialist bij MostWare, wat je als operationeel verantwoordelijke moet weten over deze richtlijn.

NIS, wat is het?

NIS staat voor Network & Information Systems, in goed Nederlands ook wel de NIB-richtlijn genoemd. Het doel van deze richtlijn voor Netwerk en Informatiebeveiliging is om het niveau van cyberweerbaarheid binnen de EU te verhogen. De initiële NIS-richtlijn trad in werking in 2016. Met de aanzienlijk toegenomen cyberdreigingen is ook het belang van de richtlijn flink gegroeid. Reden genoeg om de NIS2-richtlijn te ontwikkelen. Deze is op 27 december 2022 gepubliceerd en officieel van kracht geworden op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 de tijd om de nieuwe cybersecurityrichtlijnen van NIS2 in hun nationale wet- en regelgeving te implementeren.

Voor wie geldt NIS2?

De oorspronkelijke NIS-richtlijn was van toepassing op een beperkt aantal bedrijven binnen zes zogenaamde essentiële sectoren, te weten banken en financiën, drinkwater, energie, digitale infrastructuur, gezondheidszorg en transport. NIS2 daarentegen is voor álle middelgrote en grote organisaties van toepassing. Daarnaast zijn er een fiks aantal additionele sectoren aangewezen. Heb je meer dan vijftig medewerkers, dan is de kans aanzienlijk dat NIS2 ook voor jouw organisatie van toepassing is, hetzij direct, hetzij indirect.

Wat omvat NIS2?

Deze nieuwe Europese richtlijn voor Netwerk- en Informatiebeveiliging benoemt concreet vereiste maatregelen die je als organisatie moet nemen. Dit omvat bijvoorbeeld het implementeren van MFA, het op orde hebben van security-awareness, en het toepassen van encryptie. Naast deze relatief eenvoudige maatregelen zijn er ook complexere eisen. Denk hierbij aan de inrichting van risicomanagement om risico’s die specifiek voor jouw organisatie van belang zijn af te dekken, maar ook aan het inrichten van degelijke bedrijfscontinuïteitsmaatregelen. Dit houdt in dat je, als operationeel verantwoordelijke, verantwoordelijk bent voor het waarborgen van de operationele continuïteit, zelfs te midden van cyberdreigingen en incidenten. Je moet ervoor zorgen dat je organisatie kan blijven functioneren en snel kan herstellen na een incident. Dit omvat het opstellen van duidelijke plannen, het trainen van medewerkers voor incidentmanagement, en het regelmatig testen van deze plannen. Een ander onderdeel van NIS2 dat niet vergeten mag worden, is de opleidingsverplichting voor bestuurders. NIS2 verwacht van bestuurders dat ze een opleiding volgen, om binnen de directie de juiste inhoudelijke gesprekken te kunnen voeren rondom de implementatie van de verschillende onderdelen van NIS2. De exacte inhoudelijke opleidingsverwachtingen worden in de komende periode verder in wetgeving uitgewerkt.

Is NIS2 weer zo’n papieren tijger?

Een voor de hand liggende vraag is: is NIS net zo’n papieren tijger als de AVG? De verwachting is van niet. Zoals ik hierboven al aangaf, is NIS2 een richtlijn die concrete maatregelen benoemt. Waar de AVG voorschrijft dat je ‘iets’ moet doen om je privacy op orde te hebben, benoemt de NIS-richtlijn ook wát je moet doen om je cybersecurity naar een hoger niveau te brengen. Maar NIS gaat verder. Het gaat ook over bestuurlijke aansprakelijkheid: als je niet investeert in beveiliging, loop je als bestuurder het risico persoonlijk aansprakelijk te worden gesteld. Hoe dat precies in zijn werk gaat, zal nog verder worden verduidelijkt, maar er komt zeker meer bij kijken dan je op het eerste gezicht zou verwachten. Naast bestuurlijke aansprakelijkheid worden er ook serieuze boetes opgelegd bij non-compliance. De boete voor het niet voldoen aan NIS2 kan oplopen tot wel tien miljoen euro of twee procent van je jaarlijkse omzet. Wat ook anders is dan bij AVG, is dat er bij NIS ook gecontroleerd mag worden bij vermoedens van inbreuken en er zullen zelfs steekproefsgewijze controles worden gedaan. Bij NIS2 geldt ook een meldplicht bij grote security-incidenten. In Nederland is er een rol voor het Nationaal Cyber Security Centrum (NCSC) weggelegd als toezichthouder.

Ketenleveranciers opgelet

Ook als je niet actief bent binnen de sectoren die moeten voldoen aan NIS, kun je maar beter rekening houden met deze richtlijn. Een cruciaal aspect van NIS betreft de ketenleveranciers. Stel je voor: jouw bedrijf levert kassasystemen, en hoewel jouw organisatie niet rechtstreeks onder NIS valt, bedien je hoogstwaarschijnlijk klanten die dat wel doen, zoals financiële instellingen, supermarkten of ziekenhuizen. Deze klanten moeten voldoen aan NIS2. In dit geval dien je als leverancier ook aan bepaalde aspecten van NIS te voldoen, om er zo voor te zorgen dat jouw klanten compliant blijven. De implicaties van NIS strekken zich dus verder uit dan de specifieke sectoren die in de richtlijn zijn benoemd.

MostWare en NIS2

Hoewel het nog niet op alle aspecten duidelijk is welke vorm NIS2 exact gaat krijgen, lijkt het er sterk op dat wij met onze ISO 27001-certificering de meeste onderdelen uit NIS al behandelen. Met deze certificering zijn we voorbereid om organisaties te ondersteunen in de naleving van deze nieuwe richtlijnen.

Meer weten?

Wil je eens verder praten over wat voor jouw organisatie de beste manier is om je voor te bereiden op NIS2? Wij denken graag met je mee. Ons partnerschap begint met een goed gesprek, dus vul gerust het formulier bij deze blog in en kom in actie!