Skip to main content

NIS2

Goed voorbereid op de criteria van de nieuwe NIS2-richtlijnen. 

Wat is de NIS2-richtlijn?

De NIS2-richtlijn, of Network and Information Security directive, is de nieuwe Europese richtlijn voor de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-landen. Het is de opvolger van de eerste NIS-richtlijn, die in Nederland is geïmplementeerd als de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in 2016. De NIS2-richtlijn breidt de reikwijdte van de NIS-richtlijn uit door meer sectoren te betrekken. Ook scherpt de richtlijn de beveiligingsnormen en meldingsplichten voor incidenten aan. De NIS2-richtlijn wordt nu verwerkt in de Nederlandse wetgeving.

De veiligheid van onze samenleving en economie staat steeds meer onder druk door ontwikkelingen als de coronapandemie, het conflict in Oekraïne, cyberbedreigingen en de klimaatverandering. Daarom is de EU sinds 2020 bezig met de NIS2-richtlijn. De richtlijn heeft als doel om de digitale en economische veerkracht van Europese bedrijven te verhogen.

De NIS2-richtlijn richt zich op de risico's die netwerk- en informatiesystemen in gevaar brengen, zoals cyberbeveiligingsrisico's. Dit moet leiden tot meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties in de EU.

Welke verplichtingen schrijft de NIS2-richtlijn voor?

Zorgplicht – De richtlijn stelt een zorgplicht vast die organisaties verplicht om zelf hun risico's te beoordelen. Op basis van deze beoordeling moeten zij geschikte maatregelen nemen om de dienstverlening zo goed mogelijk te garanderen en de informatie die zij gebruiken te beschermen. Voor de verschillende sectoren van NIS2 worden er aanvullende eisen gesteld aan de zorgplicht.

Meldplicht – De richtlijn bepaalt dat entiteiten incidenten binnen 24 uur aan de toezichthouder moeten rapporteren. Het gaat om incidenten die de dienstverlening van de essentiële entiteit ernstig (kunnen) verstoren. Als het om een cyberincident gaat, moet het ook aan het Computer Security Incident Response Team (CSIRT) worden gemeld, die ondersteuning en hulp kan bieden. Factoren die bepalen of een incident gemeld moet worden zijn bijvoorbeeld het aantal personen dat door de verstoring is getroffen, de duur van de verstoring en de mogelijke financiële verliezen.

Toezicht – Organisaties die onder de richtlijn vallen, worden ook onderworpen aan verplicht toezicht. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (niet te verwarren met interbestuurlijk toezicht in het geval van medeoverheden) controleert of de organisaties zich aan de verplichtingen uit de richtlijn houden, zoals de zorg- en meldplicht.

Valt uw organisatie onder de NIS2-richtlijn?

De Rijksinspectie Digitale Infrastructuur (RDI) heeft een vragenlijst ontwikkeld waarmee organisaties zelf kunnen evalueren of ze onder de NIS2-richtlijn vallen. Door de vragenlijst in te vullen, wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie. U kunt de vragenlijst hier vinden en invullen.

Wat kunt u doen om uw bedrijf voor te bereiden op de NIS2-richtlijnen?

  1. Beoordeel of uw bedrijf onder de NIS2-richtlijn valt. Dit is belangrijk om te weten welke specifieke verplichtingen voor uw bedrijf gelden
  2. Voer een risicoanalyse en -beoordeling uit. Identificeer de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren
  3. Stel een incident response plan op. Dit plan moet procedures bevatten voor het detecteren, monitoren, oplossen en melden van incidenten.
  4. Werk aan de bewustwording van uw personeel. Dit kan bijvoorbeeld door trainingen en campagnes zoals phishingcampagnes
  5. Reserveer budget en capaciteit om aan de richtlijn te voldoen. Zorg ervoor dat u de middelen heeft om de benodigde maatregelen te implementeren
  6. Neem passende beveiligingsmaatregelen. Bescherm uw organisatie tegen de geïdentificeerde risico’s
  7. Zorg voor digitale veiligheid bij uw leveranciers. Als uw leveranciers onderdeel zijn van uw dienstverlening, moeten zij ook voldoen aan de eisen van digitale veiligheid.

e-Quest begeleidt u in het traject om te voldoen aan de NIS2-richtlijn

Het is belangrijk dat IT-partijen hun klanten niet alleen informeren en ondersteunen, maar ook samenwerken om een cultuur van cybersecurity en compliance binnen de organisatie te bevorderen. Door een strategische aanpak te hanteren en de juiste tools en expertise te bieden, kunnen IT-partijen een cruciale rol spelen in het voorbereiden van hun klanten op de NIS2-richtlijnen.

Als u nog niet bekend bent met de NIS2-richtlijnen, kan er ineens veel op u afkomen. Onze securityafdeling begeleidt u graag in het traject om te voldoen aan de NIS2-richtlijnen. Dit gaat verder dan het verstrekken van informatie en bewustwording.

e-Quest kan onder anderen ondersteunen met:

  • De risicobeoordeling van kwetsbaarheden en dreigingen voor de netwerk- en informatiesystemen.
  • Adviseren over praktische technologieën om aan de beveiligingseis te voldoen en ondersteuning van de implementatie.
  • Verzorgen van trainingen en opleidingen voor uw medewerkers om cyberdreiging te leren herkennen en ernaar te handelen.

Neem contact op met uw contactpersoon bij e-Quest voor meer informatie.