In 2016 introduceerde de EU de richtlijn (EU) 2022/2555 (Directive on Security of Network and Information Systems), beter bekend als de NIS Directive . Zoals de naam al zegt is NIS2 de tweede versie van deze richtlijn, en richt deze zich op het verder uitrollen van de door de Commissie ingezette lijn in de eerste versie. Zeer elementair gezien bevat NIS2 drie belangrijke wijzigingen ten aanzien van de eerste versie, namelijk de uitbreiding van de scope, een uitbreiding van de zorgplicht en de aanpassingen aan de meldplicht voor instanties.
Uitbreiding scope
Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om security maatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.
Zorgplicht
De zorgplicht houdt in dat bedrijven die onder de reikwijdte van de richtlijn vallen hun digitale infrastructuur op orde moeten brengen en houden met goede security-monitoring.
Meldplicht
De meldplicht houdt in dat bedrijven zelfstandig melding moeten maken van security-incidenten. Deze meldplicht geldt nu al voor datalekken, maar het wordt ook verplicht om bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbare plek te melden. Ook moeten bedrijven straks sneller een publieke melding maken van security-incidenten, zodat getroffen derde partijen actie kunnen ondernemen. Wat nieuw is ten opzichte van NIS1 is dat het schenden van de meldplicht een boete oplevert.
CISO’s moeten aan de slag
Als CISO is het belangrijk om de vereisten van de NIS2-richtlijn te begrijpen en ervoor te zorgen dat jouw bedrijf tijdig aan de eisen voldoet. In dit artikel leggen we uit wat NIS2 is en hoe je je als bedrijf hierop kan voorbereiden. Hieronder delen we een aantal adviezen voor CISO’s en personen die binnen jouw bedrijf verantwoordelijk zijn voor de security.
Processes en procedures
Voor ieder bedrijf dat onder de reikwijdte van de NIS2-richtlijn valt, geldt dat er technische en organisatorische maatregelen genomen moeten worden rondom cybersecurity. Als dit al aanwezig is, dan hoef je alleen te controleren of deze gaan voldoen aan de nieuwe wetgeving. Zijn deze maatregelen nog niet aanwezig? Dan moet je aan de slag. Je kunt denken aan het opstellen van procedures voor het melden van incidenten en een plan voor het continu naleven van deze procedures. Omdat NIS2 het hele bedrijf betreft gaat het ook om de samenwerking tussen afdelingen en belanghebbenden, iedereen moet zijn verantwoordelijkheid begrijpen en werken aan de naleving van de richtlijn.
Bedrijven moeten er ook voor zorgen dat organisatorische maatregelen nemen. Je kan hierbij denken aan awareness-training van medewerkers. Hieronder valt onder andere het weten waar je op moet letten bij phishing e-mails, wat zij moeten doen als ze per ongeluk toch op een foute hyperlink hebben geklikt en het aanspreken van onbekende personen zonder zichtbare bezoekerspas in het pand.
Verantwoordelijkheid
Wanneer je online research doet naar NIS2 vind je veel informatie over persoonlijke aansprakelijkheid. Maar wat wordt hier mee bedoelt? In algemene zin is het de taak van het bestuur dat er een goede security posture aanwezig is. Als dit nog niet op orde is, dan is het belangrijk dat dit op de agenda komt van het bestuur. Hierbij is het belangrijk dat er bevoegdheden zijn voor de verantwoordelijkheid.
Handhaving
Hoe de handhaving er precies uit gaat zien is nog niet bekend. De wetgeving wordt nog opgesteld en moet afgerond zijn voor 17 oktober 2024. Dit geeft bedrijven de tijd om zich voor te bereiden.
Het is erg waarschijnlijk dat bedrijven die de NIS2-richtlijn niet naleven een boete of andere straf krijgen. Denk hierbij aan mogelijke wettelijke aansprakelijkheid voor schade door een security-incident dat voorkomen had kunnen worden als je de nodige maatregelen had genomen. Bedrijven moeten specifieke maatregelen nemen om de beveiliging te garanderen. Als dit niet wordt gedaan, kunnen bedrijven juridische stappen ondernemen tegen klanten, regelgevers of andere belanghebbenden binnen de digitale ecosysteem.
Strategische gevolgen
Bedrijven die de NIS-richtlijn opvolgen beschermen niet alleen hun eigen systemen en eigendommen, maar ook die van hun klanten en partners. Dit kan het risico op dure security-incidenten verkleinen en de algemene digitale veiligheidspositie van het bedrijf verbeteren.
Als een bedrijf kan aantonen dat het de NIS-richtlijn naleeft, dan verbetert dit de reputatie en geloofwaardigheid van het bedrijf. Dit laat zien dat het bedrijf cybersecurity serieus neemt en toegewijd is aan de bescherming van de security en privacy van de informatie van hun klanten.
Het toepassen van NIS-richtlijnen kan bedrijven helpen hun contractuele afspraken na te leven en eventuele juridische conflicten met klanten of partners te vermijden.
Beoordeling van systemen
Als CISO is het belangrijk om inzicht te hebben in de huidige staat van de beveiliging van netwerk- en informatiesystemen. Wanneer dit bekend is kan je goed in kaart brengen op welke gebieden er verbetering nodig is. Zo kan je een prioriteitenlijst opstellen en snel aan de slag met de security van de belangrijkste gebieden.
Samenwerking met belanghebbenden
Het is al eerder genoemd, maar voor de naleving van de NIS-richtlijn is de betrokkenheid van verschillende belanghebbenden nodig. Dit zijn verschillende personen, bijvoorbeeld de werknemers binnen jouw bedrijf. Zij moeten bekend zijn met de security-procedures zodat zij bij de juiste persoon een security-incident melden. Ook klanten en bedrijven in jouw ecosysteem moeten op de hoogte zijn van de vereisten van de NIS-richtlijn en de mogelijke gevolgen.
Podcast: NIS2, wat moet ik ermee?
Luister nu ook onze podcast NIS2, wat moet ik ermee? met onze legal expert Tim Fleur en sales director Jan-Willem Sipman.
Aan de slag met NIS2
Zelf komen wij vaak over de vloer bij bedrijven die stappen willen zetten in hun cybersecurity. Sinds eind 2022 gaat het ook steeds vaker over NIS2. Dat is niet zo gek, veel CISO’s hebben hun netwerk en informatiesystemen en de processen nog niet zodanig in kaart gebracht dat zij voldoen aan de NIS2-richtlijn.
Samen met ons team van cybersecurity experts helpen we hun bij de inventarisatie van systemen en het opstellen van een prioriteitenlijst. Wanneer dit is gebeurt is kijken we of de oplossingen die al in huis zijn voldoen of dat deze vernieuwd of vervangen moeten worden. Je kunt hierbij denken aan NGFW, SOAR, SIEM of MFA.
Steeds vaker merken we dat CISO’s ervoor kiezen om hun cybersecurity uit te besteden. Zelf hebben ze niet voldoende kennis en resources in huis en kiezen voor een managed security oplossing. Bijvoorbeeld een managed SOC of managed detection and response (MDR).
Voldoet jouw bedrijf aan de NIS2-richtlijn?
Wil je ook weten of jouw bedrijf voldoet aan de NIS2-richtlijn? Neem dan contact met ons op. We helpen je graag om jouw bedrijf secure en connected te houden.
Wil je meer weten over dit onderwerp?
Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.