Meer organisaties verplicht om actief met security aan de slag te gaan.
Wat houdt de NIS 2 Directive in en wat zijn de verschillen ten opzichte van de NIS 1 Directive, maar ook wat het betekent voor organisaties?
Uit de door de Europese Unie gepresenteerde “Cybersecurity strategy” is naar voren gekomen dat de eerdere NIS 1 Directive niet meer volstaat om organisaties, die als vitaal of essentieel worden gezien, voldoende te beschermen tegen cyberaanvallen. Het waarschijnlijk beter bekende Wet beveiliging netwerk- en informatiesystemen (WBNI), wordt ook wel gezien als de Nederlandse vertaling op de richtlijnen die voortvloeiden uit de NIS. Als gevolg van deze tekortkoming van NIS 1, is dan ook NIS 2 ontwikkeld.
Deze vernieuwde richtlijnen zullen naar verwachting in 2024 van kracht zijn en hebben als doel de weerbaarheid van organisaties te vergroten en zo ook beter te kunnen reageren en handelen op (security) incidenten om vitale bedrijven binnen de EU te beschermen. De verwachting is dat het ook voor organisaties een grote impact kan hebben, in ieder geval zullen meer organisaties moeten voldoen aan de kaders die door NIS 2 worden opgelegd en onder de WBNI-wetgeving gaan vallen.
Ter verduidelijking hierbij eerst de belangrijkste elementen van de NIS 1:
Organisaties
Het nemen van cyberbeveiligingsmaatregelen in zeven vitale sectoren (te weten energie, transport, banken, financiële markten, gezondheid, drinkwater & distributies, digitale infrastructuur)
Nationaal
De verplichting voor het vaststellen van een nationale strategie voor de beveiliging van netwerk- en informatiesystemen. Om risico’s en incidenten af te handelen waren EU-lidstaten hierbij verplicht om nationale computerbeveiliging incident respons teams (CSIRT’s) op te richten, en één centraal aanspreekpunt (SPOC).
Europees
De oprichting van de NIS-samenwerkingsgroep, bedoeld om de strategische samenwerking tussen de lidstaten te ondersteunen en te vergemakkelijken.
Ten opzichte van de NIS 1 zijn er een aantal aanpassingen in de NIS 2. De belangrijkste worden hieronder aangegeven:
Organisaties
Er zijn een aantal aanpassingen omtrent de inclusie van organisaties die moeten voldoen aan NIS 2 richtlijnen. Hierbij zijn een drietal sectoren die als vitaal beschouwd worden toegevoegd aan de selectiecriteria, namelijk ICT-service beheer, publieke administratie entiteiten en ruimtevaart.
Door de uitbreiding van deze sectoren zullen naar verwachting ongeveer 160.000 organisaties door heel Europa onder de NIS 2 richtlijnen komen te vallen. Naast de bestaande essentiële dienstverleners zijn de voorheen ‘digitale dienstverleners’ (NIS 1) uitgebreid naar ‘belangrijke sectoren’ (NIS 2). Dit betekent dat naast de digitale aanbieders ook toegevoegd zijn:
- Post- en koeriersdiensten
- Afvalbeheer
- Fabricage, productie en distributie van chemicaliën
- Voedselproductie, -verwerking en -distributie
- Productie
- Onderzoek
NIS 2 geeft daarbij nauwkeurige voorschriften wat betreft het proces van het melden van incidenten, de inhoud van de melding en daarbij aansluitende tijdsschema’s. Deze voorschriften borduren voort op de voorschriften van NIS 1. Daarnaast biedt NIS 2 de onderstaande minimumlijst aan maatregelen waaraan organisaties zullen moeten voldoen:
- Er wordt een risicoanalyse gehanteerd en er is een vastgesteld beleid voor de beveiliging van informatiesystemen
- Er is een beleid met betrekking tot het afhandelen van incidenten
- Er wordt bedrijfscontinuïteit nagestreefd en is een protocol met betrekking tot crisisbeheer
- De toeleveringsketen wordt beveiligd, dit heeft onder andere betrekking op de relaties met leveranciers
- Informatiesystemen worden beveiligd
- Er zullen verplichte testen worden uitgevoerd met betrekking tot de effectiviteit van de maatregelen voor het beheer van cyberveiligheidsrisico’s
- Er wordt gebruik gemaakt van cryptografie en encryptie
Nationaal
Er zullen strengere handhavingseisen voor de nationale autoriteiten worden geïmplementeerd, waarbij het gebruik van sancties voor organisaties van maximaal 2% van de wereldwijde omzet met een plafond van €10 miljoen ingezet kunnen worden. Essentiele aanbieders staan onder toezicht. Er worden proactief controles uitgevoerd, wat een preventieve werking moet hebben. Daarentegen worden belangrijke aanbieders pas achteraf gecontroleerd. Bijvoorbeeld nadat er een cyberaanval en/of een datalek heeft plaatsgevonden.
Europees
De rol van de samenwerkingsgroep zal worden versterkt. Dit zal onder andere gebeuren door de informatie-uitwisseling en de samenwerking tussen de verschillende lidstaten uit te breiden en de samenwerkingsgroep meer te betrekken bij het vormgeven van strategische beslissingen. Verder zal er een EU-register geïntroduceerd worden met betrekking tot het openbaar maken van nieuw ontdekte kwetsbaarheden in de gehele EU, op het gebied van cybersecurity.
Voor vragen over deze blog of Cybersecurity in het algemeen, kunt u contact opnemen met info@legian.nl
Auteur: Lucas Koole
Business Consultant
