NIS 2 Directive (Network and Information Security)

Meer organisaties verplicht om actief met security aan de slag te gaan.

Wat houdt de NIS 2 Directive in en wat zijn de verschillen ten opzichte van de NIS 1 Directive, maar ook wat het betekent voor organisaties?

Uit de door de Europese Unie gepresenteerde “Cybersecurity strategy” is naar voren gekomen dat de eerdere NIS 1 Directive niet meer volstaat om organisaties, die als vitaal of essentieel worden gezien, voldoende te beschermen tegen cyberaanvallen. Het waarschijnlijk beter bekende Wet beveiliging netwerk- en informatiesystemen (WBNI), wordt ook wel gezien als de Nederlandse vertaling op de richtlijnen die voortvloeiden uit de NIS. Als gevolg van deze tekortkoming van NIS 1, is dan ook NIS 2 ontwikkeld.

Deze vernieuwde richtlijnen zullen naar verwachting in 2024 van kracht zijn en hebben als doel de weerbaarheid van organisaties te vergroten en zo ook beter te kunnen reageren en handelen op (security) incidenten om vitale bedrijven binnen de EU te beschermen. De verwachting is dat het ook voor organisaties een grote impact kan hebben, in ieder geval zullen meer organisaties moeten voldoen aan de kaders die door NIS 2 worden opgelegd en onder de WBNI-wetgeving gaan vallen.

Ter verduidelijking hierbij eerst de belangrijkste elementen van de NIS 1:

Organisaties

Het nemen van cyberbeveiligingsmaatregelen in zeven vitale sectoren (te weten energie, transport, banken, financiële markten, gezondheid, drinkwater & distributies, digitale infrastructuur)

Nationaal

De verplichting voor het vaststellen van een nationale strategie voor de beveiliging van netwerk- en informatiesystemen. Om risico’s en incidenten af te handelen waren EU-lidstaten hierbij verplicht om nationale computerbeveiliging incident respons teams (CSIRT’s) op te richten, en één centraal aanspreekpunt (SPOC).

Europees

De oprichting van de NIS-samenwerkingsgroep, bedoeld om de strategische samenwerking tussen de lidstaten te ondersteunen en te vergemakkelijken.

Ten opzichte van de NIS 1 zijn er een aantal aanpassingen in de NIS 2. De belangrijkste worden hieronder aangegeven:

Organisaties

Er zijn een aantal aanpassingen omtrent de inclusie van organisaties die moeten voldoen aan NIS 2 richtlijnen. Hierbij zijn een drietal sectoren die als vitaal beschouwd worden toegevoegd aan de selectiecriteria, namelijk ICT-service beheer, publieke administratie entiteiten en ruimtevaart.

Door de uitbreiding van deze sectoren zullen naar verwachting ongeveer 160.000 organisaties door heel Europa onder de NIS 2 richtlijnen komen te vallen. Naast de bestaande essentiële dienstverleners zijn de voorheen ‘digitale dienstverleners’ (NIS 1) uitgebreid naar ‘belangrijke sectoren’ (NIS 2). Dit betekent dat naast de digitale aanbieders ook toegevoegd zijn:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Fabricage, productie en distributie van chemicaliën
  • Voedselproductie, -verwerking en -distributie
  • Productie
  • Onderzoek

NIS 2 geeft daarbij nauwkeurige voorschriften wat betreft het proces van het melden van incidenten, de inhoud van de melding en daarbij aansluitende tijdsschema’s. Deze voorschriften borduren voort op de voorschriften van NIS 1. Daarnaast biedt NIS 2 de onderstaande minimumlijst aan maatregelen waaraan organisaties zullen moeten voldoen:

  • Er wordt een risicoanalyse gehanteerd en er is een vastgesteld beleid voor de beveiliging van informatiesystemen
  • Er is een beleid met betrekking tot het afhandelen van incidenten
  • Er wordt bedrijfscontinuïteit nagestreefd en is een protocol met betrekking tot crisisbeheer
  • De toeleveringsketen wordt beveiligd, dit heeft onder andere betrekking op de relaties met leveranciers
  • Informatiesystemen worden beveiligd
  • Er zullen verplichte testen worden uitgevoerd met betrekking tot de effectiviteit van de maatregelen voor het beheer van cyberveiligheidsrisico’s
  • Er wordt gebruik gemaakt van cryptografie en encryptie

Nationaal

Er zullen strengere handhavingseisen voor de nationale autoriteiten worden geïmplementeerd, waarbij het gebruik van sancties voor organisaties van maximaal 2% van de wereldwijde omzet met een plafond van €10 miljoen ingezet kunnen worden. Essentiele aanbieders staan onder toezicht. Er worden proactief controles uitgevoerd, wat een preventieve werking moet hebben. Daarentegen worden belangrijke aanbieders pas achteraf gecontroleerd. Bijvoorbeeld nadat er een cyberaanval en/of een datalek heeft plaatsgevonden.

Europees

De rol van de samenwerkingsgroep zal worden versterkt. Dit zal onder andere gebeuren door de informatie-uitwisseling en de samenwerking tussen de verschillende lidstaten uit te breiden en de samenwerkingsgroep meer te betrekken bij het vormgeven van strategische beslissingen. Verder zal er een EU-register geïntroduceerd worden met betrekking tot het openbaar maken van nieuw ontdekte kwetsbaarheden in de gehele EU, op het gebied van cybersecurity.

Voor vragen over deze blog of Cybersecurity in het algemeen, kunt u contact opnemen met info@legian.nl

Auteur: Lucas Koole
Business Consultant

IT Security Assessment

De toename van cybercriminaliteit laat zien hoe belangrijk digitale beveiliging is, maar weet jij of de IT security van jouw organisatie op orde is? Onze nieuwe dienst, IT Security Assessment geeft hier antwoord op. De dienst biedt inzicht in het huidige niveau van IT security en biedt concrete maatregelen om de cyber security te verbeteren naar een minimaal vereist niveau. Dit allemaal om ervoor te zorgen dat jouw organisatie weerbaarder wordt tegen de toename van digitale dreiging.

Met de dienst adviseren wij over de te nemen maatregelen in technische en organisatorische zin. Maatregelen die passen bij de risico’s die de organisatie loopt. Onze adviezen zijn concreet en gericht op effectiviteit van de maatregelen.

Critical Security Controls

Onze IT Security Assessment is gebaseerd op de Critical Security Controls van het Center for Internet Security (CIS). Dit is een framework met ‘best practices’, die zijn gecreëerd om de meest wijdverspreide en gevaarlijke bedreigingen van vandaag de dag een halt toe te roepen.

Compleet inzicht

Het Legian IT Security Assessment kan afzonderlijk worden uitgevoerd om inzicht te krijgen in de gehele status van de mate waarin de organisatie ‘veilig’ is. De dienst kan uitgebreid worden met een Legian IT Risk Assessment, om nog scherper te krijgen wat de risico’s zijn en welke mitigerende maatregelen daarvoor nodig zijn. Wanneer een organisatie ook over Operationele Technologie beschikt (OT), kunnen de OT Security Assessment en de OT Risk Assessment als aanvulling dienen.

De uitkomsten van ons IT Security Assessment kunnen dienen als startpunt voor een verbeterprogramma. Er kan een aanleiding zijn om dieper in te gaan op bepaalde aspecten. Het voldoen aan wet- en regelgeving, of marktstandaarden op het gebied van security zijn hier voorbeelden van. Legian kan ook op dit gebied een helder advies geven.

Wil je meer weten of onze dienst wat voor jou kan betekenen? Neem contact op via jouw accountmanager bij Legian of bel naar +31 (0)70 302 99 22.

Podcast Security

Onze security consultant Peter van der Nagel heeft samen met Maria Genova en Uniserver een interessante podcast opgenomen.

Security experts Maria Genova, schrijfster van onder meer ‘Komt een vrouw bij de h@cker’, en Peter van der Nagel, security consultant bij Legian, vertellen hoe actief cybercriminelen op dit moment zijn en dat bedrijven vaak niet voorbereid zijn om gehackt te worden. De vraag is niet óf je gehackt wordt, maar wanneer! Ben jij klaar om gehackt te worden?

“Mensen realiseren zich niet dat één verkeerde klik impact heeft voor de hele organisatie. Dan ben je alle data kwijt en kost het je heel veel geld.”

De podcast kun je hier beluisteren: Podcast Security