Skip to content

NIS 2 Directive (Network and Information Security)

NIS 2 Directive (Network and Information Security)

Meer organisaties verplicht om actief met security aan de slag te gaan.

Wat houdt de NIS 2 Directive in en wat zijn de verschillen ten opzichte van de NIS 1 Directive, maar ook wat het betekent voor organisaties?

Uit de door de Europese Unie gepresenteerde “Cybersecurity strategy” is naar voren gekomen dat de eerdere NIS 1 Directive niet meer volstaat om organisaties, die als vitaal of essentieel worden gezien, voldoende te beschermen tegen cyberaanvallen. Het waarschijnlijk beter bekende Wet beveiliging netwerk- en informatiesystemen (WBNI), wordt ook wel gezien als de Nederlandse vertaling op de richtlijnen die voortvloeiden uit de NIS. Als gevolg van deze tekortkoming van NIS 1, is dan ook NIS 2 ontwikkeld.

Deze vernieuwde richtlijnen zullen naar verwachting in 2024 van kracht zijn en hebben als doel de weerbaarheid van organisaties te vergroten en zo ook beter te kunnen reageren en handelen op (security) incidenten om vitale bedrijven binnen de EU te beschermen. De verwachting is dat het ook voor organisaties een grote impact kan hebben, in ieder geval zullen meer organisaties moeten voldoen aan de kaders die door NIS 2 worden opgelegd en onder de WBNI-wetgeving gaan vallen.

Ter verduidelijking hierbij eerst de belangrijkste elementen van de NIS 1:

Organisaties

Het nemen van cyberbeveiligingsmaatregelen in zeven vitale sectoren (te weten energie, transport, banken, financiële markten, gezondheid, drinkwater & distributies, digitale infrastructuur)

Nationaal

De verplichting voor het vaststellen van een nationale strategie voor de beveiliging van netwerk- en informatiesystemen. Om risico’s en incidenten af te handelen waren EU-lidstaten hierbij verplicht om nationale computerbeveiliging incident respons teams (CSIRT’s) op te richten, en één centraal aanspreekpunt (SPOC).

Europees

De oprichting van de NIS-samenwerkingsgroep, bedoeld om de strategische samenwerking tussen de lidstaten te ondersteunen en te vergemakkelijken.

Ten opzichte van de NIS 1 zijn er een aantal aanpassingen in de NIS 2. De belangrijkste worden hieronder aangegeven:

Organisaties

Er zijn een aantal aanpassingen omtrent de inclusie van organisaties die moeten voldoen aan NIS 2 richtlijnen. Hierbij zijn een drietal sectoren die als vitaal beschouwd worden toegevoegd aan de selectiecriteria, namelijk ICT-service beheer, publieke administratie entiteiten en ruimtevaart.

Door de uitbreiding van deze sectoren zullen naar verwachting ongeveer 160.000 organisaties door heel Europa onder de NIS 2 richtlijnen komen te vallen. Naast de bestaande essentiële dienstverleners zijn de voorheen ‘digitale dienstverleners’ (NIS 1) uitgebreid naar ‘belangrijke sectoren’ (NIS 2). Dit betekent dat naast de digitale aanbieders ook toegevoegd zijn:

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Fabricage, productie en distributie van chemicaliën
  • Voedselproductie, -verwerking en -distributie
  • Productie
  • Onderzoek

NIS 2 geeft daarbij nauwkeurige voorschriften wat betreft het proces van het melden van incidenten, de inhoud van de melding en daarbij aansluitende tijdsschema’s. Deze voorschriften borduren voort op de voorschriften van NIS 1. Daarnaast biedt NIS 2 de onderstaande minimumlijst aan maatregelen waaraan organisaties zullen moeten voldoen:

  • Er wordt een risicoanalyse gehanteerd en er is een vastgesteld beleid voor de beveiliging van informatiesystemen
  • Er is een beleid met betrekking tot het afhandelen van incidenten
  • Er wordt bedrijfscontinuïteit nagestreefd en is een protocol met betrekking tot crisisbeheer
  • De toeleveringsketen wordt beveiligd, dit heeft onder andere betrekking op de relaties met leveranciers
  • Informatiesystemen worden beveiligd
  • Er zullen verplichte testen worden uitgevoerd met betrekking tot de effectiviteit van de maatregelen voor het beheer van cyberveiligheidsrisico’s
  • Er wordt gebruik gemaakt van cryptografie en encryptie

Nationaal

Er zullen strengere handhavingseisen voor de nationale autoriteiten worden geïmplementeerd, waarbij het gebruik van sancties voor organisaties van maximaal 2% van de wereldwijde omzet met een plafond van €10 miljoen ingezet kunnen worden. Essentiele aanbieders staan onder toezicht. Er worden proactief controles uitgevoerd, wat een preventieve werking moet hebben. Daarentegen worden belangrijke aanbieders pas achteraf gecontroleerd. Bijvoorbeeld nadat er een cyberaanval en/of een datalek heeft plaatsgevonden.

Europees

De rol van de samenwerkingsgroep zal worden versterkt. Dit zal onder andere gebeuren door de informatie-uitwisseling en de samenwerking tussen de verschillende lidstaten uit te breiden en de samenwerkingsgroep meer te betrekken bij het vormgeven van strategische beslissingen. Verder zal er een EU-register geïntroduceerd worden met betrekking tot het openbaar maken van nieuw ontdekte kwetsbaarheden in de gehele EU, op het gebied van cybersecurity.

Voor vragen over deze blog of Cybersecurity in het algemeen, kunt u contact opnemen met info@legian.nl

Auteur: Lucas Koole

Blog

Legian bedrijfsvideo

Vandaag heeft Legian haar bedrijfsvideo gelanceerd. In de video wordt uitgelegd wat wij bieden aan onze opdrachtgevers en wat onze doelstellingen zijn. Ons dagelijks werken en leven wordt mede bepaald
Lees meer

Legian scoort hoog op het Computable werkgeversonderzoek ICT 2022!

Jaarlijks voert Computable een grootschalig onderzoek uit in onder werknemers bij ICT-bedrijven, om te komen tot een overzicht van de aantrekkelijkste ICT-werkgevers. De resultaten van het onderzoek worden opgenomen in
Lees meer

IT Security Assessment

De toename van cybercriminaliteit laat zien hoe belangrijk digitale beveiliging is, maar weet jij of de IT security van jouw organisatie op orde is? Onze nieuwe dienst, IT Security Assessment
Lees meer

Cloud Readiness Assesment

Steeds meer organisaties willen beginnen aan een reis naar de Cloud. De keuze is vaak gebaseerd op kostenefficiëntie en vanwege de voordelen van innovatieve Cloud services die Cloud providers aanbieden.
Lees meer

Cloud Security Assessment

De Cloud Security Assessment is een van onze nieuwe diensten. Met deze dienst creëren wij inzicht voor organisaties in de belangrijkste security vereisten voor (de transitie naar) de Cloud. Zodat
Lees meer

Persbericht 26 juli 2021

Legian breidt haar portfolio uit Onlangs lanceerde Legian met haar nieuwe website tevens het vernieuwde portfolio. Naast detachering wordt met resultaatgerichte adviesprojecten een belangrijke invulling gegeven aan de toenemende klantvraag.
Lees meer

Persbericht 11 mei 2021

Auteur: Redactie Datum: 11-05-2021 Uit de dagelijkse krantenkoppen blijkt hoe kwetsbaar een organisatie is als het om cybercrime gaat. Je leest en hoort er genoeg over in de media. Een
Lees meer

Persbericht 21 april 2021

Auteur: Redactie Datum: 21-04-2021 Legian Consultancy & Network Services gaat deelnemen in het partnernetwerk van Nenova IT. Met deze stap wordt het partnernetwerk (ecosysteem) van Nenova verder uitgebreid met een
Lees meer

Data-gretigheid van Facebook

Auteur: Ferry Stelte Datum: 19-02-2021 Het is het verdienmodel van Facebook om zoveel mogelijk te weten over haar gebruikers en deze data te verkopen. Facebook stelt op basis van verzamelde
Lees meer

Thuiswerken is de norm

Thuiswerken is de norm. En misschien wordt thuiswerken wel het ‘nieuwe normaal’. Dankzij de pandemie heeft het fenomeen thuiswerken in ieder geval een enorme vlucht genomen. Daarmee is het op
Lees meer

Het ISF Wereld Congres

Een aantal van onze legends hebben het Digitale Wereld Congres 2020 bijgewoond van het Information Security Forum (ISF). Legian is al enige jaren lid van het ISF, een belangrijk kennis- en netwerkplatform voor onze
Lees meer

Toppositie in beoordeling ICT Werkgevers

Computable Werkgeversonderzoek Een hele mooie plaats 10 voor Legian in de ranglijst van de Top-50 Beste Werkgevers in de ICT. Een prachtige plaats om trots op te zijn, bereikt door
Lees meer

Doelgericht werken aan oplossingen