NIS2-richtlijn: Wat betekent het voor uw organisatie?
Het “Network and Information Security Directive”, afgekort naar NIS2,is een nieuwe richtlijn vanuit Europa. Een groot aantal bedrijven zal verplicht (verdere) maatregelen moeten gaan nemen op het vlak van cybersecurity. In Nederland zal de NIS2-richtlijn geïmplementeerd worden door de Cyberbeveiligingswet (Cbw).
Naar verwachting zal de Cyberbeveiligingswet in 2025 in werking treden, nadat deze door het parlement is behandeld. Organisaties die onder de Cyberbeveiligingswet vallen (dus eigenlijk: onder de NIS2-richtlijn vallen) moeten vanaf dat moment aan de vereisten zoals gesteld door NIS2 voldoen.
In essentie moet NIS2 zekerstellen dat belangrijke organisaties in Europa beter beschermd zijn tegen cyberaanvallen. Om dat te bereiken moeten ook de belangrijkste toeleveranciers van deze organisatie, zoals leveranciers van IT infrastructuur, aan de vereisten voldoen.
Maar wat betekent de NIS2-richtlijn voor uw organisatie?
Valt mijn bedrijf onder de NIS2-richtlijn?
Omdat de Cyberbeveiligingswet pas in 2025 in werking treedt, is er nog weinig praktijkervaring met de toepassing van NIS2.
In een notedop moeten alle “essentiële” entities (o.a. energie, gezondheidszorg, transport etc) en “belangrijke” entities (o.a. IT infrastructuur, voedselproductie) in elk geval aan de NIS2 standaarden voldoen.
Als u toeleverancier bent van deze organisaties, kan het zijn dat u ook aan de NIS2-richtlijn moet voldoen. Dit is in elk geval zo wanneer u een dienst levert die van invloed is op de continuïteit van de organisatie.
Wanneer hoeft u niet aan de NIS2-richtlijn te voldoen?
Zoals gezegd is er nog weinig praktijkervaring, en zal de precieze interpretatie van de regels zich de komende jaren nog ontwikkelen. Dat gezegd hebbende hoeft u waarschijnlijk niet aan de NIS2-richtlijnen te voldoen als één van de volgende punten van toepassing is:
- U levert producten en/of diensten die bij onderbreking niet direct impact hebben op de continuïteit of veiligheid van de kernfuncties van een NIS2-entiteit
- Uw organisatie is kleiner dan 50 medewerkers en heeft een omzet van minder dan 10 miljoen euro per jaar, én u levert geen zeer kritieke diensten
Er zijn binnen Nederland reeds een aantal hulpmiddelen die u hiermee kunnen helpen. Zo is er een goede illustratie in de vorm van een flowchart te vinden op de website van het NCSC:
Ook kunt u via Samen Digitaal Veilig (SDV) een zelfevaluatie doen:
- https://www.samendigitaalveilig.nl/valt-mijn-bedrijf-onder-nis2/
- https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Wat betekent het wanneer de NIS2-richtlijn op mijn organisatie van toepassing is?
Organisaties (in de NIS2 terminologie: entiteiten) die onder de NIS2-richtlijn vallen, hebben een zorg- en meldplicht vanaf het moment dat de Cyberbeveiligingswet in werking treedt (en als zij ook onder de jurisdictie van Nederland vallen). Nederlandse toezichthouders zullen dus ook niet, voorafgaand aan de inwerkingtreding van de Cyberbeveiligingswet, toezien op de naleving van deze verplichtingen.
Globaal is de impact:
- Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren bij het NCSC (Nationaal Cyber Security Centrum)
- Zorgplicht: De richtlijn verplicht organisaties om proactief potentiële risico’s te herkennen en te evalueren, en hierbij maatregelen te nemen
- Meldplicht: Bovendien zijn alle organisaties die onder NIS2 vallen verplicht om incidenten te melden (binnen 24 uur na het ontdekken van een incident)
- Toezicht: Organisaties die onder NIS2 vallen, zullen onder toezicht worden geplaatst; reactief voor “belangrijke” organisaties, en pro-actief voor “essentiële” organisaties
Om medewerking af te dwingen dreigt de EU al met stevige boetes wanneer niet aan de richtlijn wordt voldaan. 10 miljoen of 2% van de wereldwijde omzet voor essentiële bedrijven en minimaal 7 miljoen voor belangrijke bedrijven of 2% van de wereldwijde omzet. De Rijksinspectie Digitale Infrastructuur gaat toezicht houden.
Net als bij de GDPR is niet de verwachting dat er direct veel boetes zullen worden uitgedeeld. Het voornaamste is dat u, wanneer de richtlijnen op uw organisatie van toepassing zijn, kunt laten zien dat u bezig bent met het digitaal veiliger maken van uw eigen organisatie en de toeleveringsketen.
Het bewijs van het voldoen aan de richtlijnen zult u moeten bereiken in de vorm van een nieuwe certificering, na een audit door een daarvoor geautoriseerde derde partij.
Deze certificering is het NIS2 “Quality Mark”.
Voldoen aan de NIS2-richtlijn
De bijbehorende standaard definieert ook de exacte requirements waar aan moet worden voldaan. Er zijn hierbij drie verschillende niveaus: QM10, QM20 en QM30. Voor MKB organisaties is meestal QM10 voldoende.
Details per niveau zijn bijvoorbeeld hier te vinden:
In een notendop zal er moeten worden gekeken naar firewalls, IDS’en, cyber security beleid en processen gerelateerd aan risk management en business continuity. Ook moet er worden bewezen dat medewerkers adequaat worden opgeleid.
De QM-10 standaard stelt de minst strenge eisen. Of dat voor u voldoende is zal afhangen van uw omvang, en de complexiteit en mate van kritiekheid van de diensten die u levert.
Doorgaans moet u, voor het behalen van de certificering, de volgende stappen doorlopen:
- Risico-inventarisatie
- Acties en toetsen
- Interne pre-audit
- Externe audit
- Ontvangen certificaat
The good, the bad, the ugly
De toegevoegde waarde van NIS2 is dat er op Europese schaal wordt gekeken naar het beperken van cyber-risico’s vanuit een ketengedachte. De standaard kan hierdoor bijdragen aan het versterken van zwakke punten in de essentiële ketens.
Wel is het zo dat veel van de organisaties waarop NIS2 van toepassing zal zijn, al werken in lijn met bijvoorbeeld ISO27001, CIS controls of andere vergelijkbare standaarden. ISO27001 en CIS controls dekken reeds risicomanagement, incident management en supply chain risk af. Voor deze organisaties zal de NIS2 richtlijn vooral een toename in administratieve druk en overhead / indirecte kosten betekenen, en zal er op het gebied van cyber security weinig extra’s worden verbeterd.
In essentie dwingt NIS2 voor volwassen organisaties eigenlijk alleen juridische compliance en uniformiteit af, en zal geen reële technische verbeteringen brengen.
De verwachting is dat er de komende tijd nog veel onduidelijkheid zal blijven bestaan over de precieze operationele invulling van de verschillende vereisten. Wanneer is de dienst die u levert wel of niet van invloed op de continuïteit van een NIS2 entiteit? En moeten bijvoorbeeld toeleveranciers ook hun eigen toeleveranciers erbij betrekken? En wanneer is dit voldoende gebeurd?
Net als bij GDPR zal er een ietwat ongemakkelijke eerste periode zijn. Vanuit nSEC/Resilience zullen wij natuurlijk altijd met plezier helpen bij het uitvoeren van de vereiste security testen.
Mocht u vragen hebben specifiek over de NIS2-richtlijnen, dan kunt u natuurlijk ook bij ons terecht. Neem dan contact met ons op via info@nsec-resilience.com of het contactformulier op deze website. De consultancy diensten van nSEC/Resilience zullen binnenkort worden aangeboden vanuit Stratis IT Consulting, een zusterbedrijf van nSEC/Resilience onder de Stratis Groep.