En wat weten we al over de Cyberbeveiligingswet?
We zijn weer een aantal stappen verder met betrekking tot NIS2, een belangrijke (nieuwe) Europese richtlijn met een grote impact op het cybersecuritylandschap. Er is inmiddels ook een nieuwe naam voor de wet die in Nederland de WBNI zal vervangen: de Cyberbeveiligingswet (Cbw). Hoewel we niet exact weten wanneer de regelgeving in werking treedt (naar verwachting in het derde kwartaal van 2025), delen we graag wat er al wél bekend is.
Reikwijdte
Over de scope van de NIS2-richtlijn is al veel geschreven. We wisten al dat deze ruimer is dan die van de NIS (of NIS1). Daarnaast was al bekend dat de richtlijn, naast essentiële entiteiten, ook belangrijke entiteiten toevoegt. Het wetsvoorstel voor de Cyberbeveiligingswet spreekt over middelgrote en grote bedrijven.
Een registratie-, meld- én zorgplicht en toezicht
Er komen vier categorieën verplichtingen bij kijken, hieronder een korte blik op elke categorie.
Registratieplicht
Elke entiteit die binnen de scope valt van de Cyberbeveiligingswet (Cbw) moet zich registreren bij het NCSC (Nationaal Cyber Security Centrum). Sinds kort is het mogelijk om je als entiteit te registreren. Let op, dit geldt voor elke relevante entiteit en staat los van de labels ‘belangrijk’ en ‘essentieel’.
Waarom is er een registratieverplichting? Het doel van het register is zodat organisaties pro-actief geïnformeerd worden bij cyberdreigingen door het NCSC. Ook levert dit op Europees niveau een beeld op van het aantal NIS2-entiteiten. Daarom moet elke lidstaat over een eigen register beschikken.
Meldplicht
Het wetsvoorstel stelt dat significante incidenten gemeld moeten worden. Dit zijn incidenten die de dienstverlening van een organisatie aanzienlijk verstoren. Factoren die dit bepalen zijn:
- De omvang van de financiële verliezen voor de betrokkenen.
- Het veroorzaken van schade bij andere organisaties in de keten.
Daarom is het inrichten van Incident Response belangrijk. Het is nog niet duidelijk wat de drempelwaarden zijn voor een significante melding, maar het NCSC geeft aan dat zij bezig zijn met het bepalen van deze waarden en het inrichten van een centraal meldpunt.
De incidenten worden gemeld bij de toezichthouder. Vanuit de toezichthouder zal je dan binnen 24 uur ondersteuning krijgen van het nationale CSIRT (Computer Security Incident Response Team). Ondanks dat Cbw nog niet van kracht is in Nederland, heb je als NIS2-organisatie al wel recht op deze ondersteuning.
Zorgplicht
Meermaals wordt in het wetsvoorstel aangehaald dat het erg belangrijk is om cybersecurity vanuit ‘risico-denken’ te benaderen. De risico-gebaseerde aanpak is een van de belangrijkste onderdelen binnen deze wet. Dit houdt in dat de risicoanalyse de basis vormt voor de beslissingen in je organisatie.
Met het volgen van een risico-gebaseerde aanpak kom je tot passende en evenredige maatregelen. Door na te denken over de kroonjuwelen van je organisatie en welke dreigingen het meest relevant zijn, valt goed te onderbouwen hoe zwaar een bepaalde maatregel zal zijn. Een passende maatregel is dan ook een regel die evenredig is aan hetgeen wat je wilt beschermen. Zo stop je je belangrijke juwelen thuis in een kluis met een unieke code, terwijl je dat niet met al je andere waardevolle bezittingen doet.
Ook is het belangrijk om een ‘plan-do-check-act’-methodiek te hanteren, waardoor je continu blijft monitoren en bijsturen. Hiermee zorg je ervoor dat je niet ad hoc, maar voor de lange termijn in control bent. Het resultaat is continue verbetering in het securitydomein van je organisatie.
Toezicht
De entiteit is eindverantwoordelijk voor het naleven van de zorgplicht. Daarom noemen we ‘toezicht houden’ een vierde verplichting die wordt opgelegd.
Vanuit de toezichthouder wordt de registratie-, meld- en zorgplicht gecontroleerd. Daarbij heeft de toezichthouder verschillende mogelijkheden, afhankelijk of je als NIS2-entiteit ‘essentieel’ of ‘belangrijk’ bent, om haar toezichthoudende taken uit te voeren. De toezichthouder kan informatie opvragen, audits uitvoeren of een ‘aanwijzing’ opleggen.
Het opleggen van een boete of het schorsen van een bestuurslid behoort ook tot de mogelijkheden van de toezichthouder. Echter gaan wij er van uit dat je op dat moment al een aantal waarschuwingen verder bent.
Opleidingsplicht
Naast de grotere betrokkenheid van het management en de toegenomen aandacht voor aansprakelijkheid, krijgen bestuurders ook een opleidingsplicht. Dit lijkt ons een belangrijke en interessante toevoeging van de Cyberbeveiligingswet. Dit stelt bestuurders namelijk in staat om vele malen beter beslagen ten ijs te komen en daarmee de juiste beslissingen te nemen op het gebied van informatiebeveiliging.
Hulpmiddelen
Om je op weg te helpen, is hier een overzicht van enkele hulpmiddelen:
- Legian NIS2-check
- NCSC Herstel van een cyberincident
- DTC incident response plan
Ook vind je meer informatie over de NIS2 en de aankomende Cyberbeveiligingswet op onze NIS2-pagina.
Conclusie
Het advies van de Rijksoverheid is om niet af te wachten tot de wet daadwerkelijk van kracht wordt, maar om op tijd voorbereid te zijn. Daar sluiten wij ons bij aan: ga vandaag al aan de slag!
Maar hoe begin je dan?
Onze aanpak is om informatiebeveiliging te borgen binnen de organisatie vanuit de norm ISO 27001. Al is een ISO-certificering geen doel voor een organisatie of een verplichting vanuit de NIS2, dan nog bevat deze aanpak een aantal belangrijke onderdelen die enorm helpen en aansluiten op de vereisten. Dit is nuttig voor alle organisaties, van klein tot groot.
Start met een risicoanalyse
Een risicoanalyse of risk assessment is een vast onderdeel van een ISO-aanpak. Hierin worden de beveiligingsrisico’s gedefinieerd. Daarna worden de risico’s gewaardeerd op kans (wat is de kans dat dit voorvalt?) en gevolgschade. Er ontstaat inzicht in de top 10 risico’s op het gebied van security. Je voldoet hiermee dus aantoonbaar aan een risico-gebaseerde aanpak.
Richt een ISMS in
De ISO-aanpak spreekt van het borgen van informatiebeveiliging middels een managementsysteem. Dit heet het Information Security Management System (ISMS). Eerder sprak ik al over een plan-do-check-act-cyclus, waardoor er continue verbetering optreedt. Risico’s en maatregelen worden geëvalueerd en bijgestuurd op periodieke basis. Ook heeft het management een belangrijke taak binnen het managementsysteem, en bovendien is het essentieel dat het management betrokken is.
Implementeer effectieve (basis)maatregelen
De ISO 27001-standaard kent een bijlage, namelijk ISO 27001: Annex A (ISO 27002). In deze bijlage staan de maatregelen die horen bij dit normenkader. De laatste versie (2022) omvat overigens een aantal aanpassingen ten opzichte van de vorige versie. Basismaatregelen, zoals die in artikel 21 van NIS2 worden beschreven, en waarnaar verwezen wordt, kunnen gemapt worden met de deze set van IS027001 maatregelen. Op basis hiervan kun je dus stellen dat door het implementeren van ISO27001 en ISO27002, je al enorm veel stappen zet richting naleving van de NIS2. Zo ben je goed voorbereid op de Cyberbeveiligingswet!
De overheid adviseert om niet te wachten tot de wet van kracht is, maar om nu al voorbereid te zijn. Heb je de kennis niet in huis of heb je behoefte aan extra ondersteuning? Dan is het raadzaam een expert in te schakelen. Tijdens een gratis consult leggen wij je uit wat NIS2 voor jouw organisatie betekent en hoe wij bedrijven succesvol begeleiden bij de voorbereiding, implementatie en naleving.
Legian. Mastering Cybersecurity Complexity.
Auteur: Nandenie Moenielal (Lead Consultancy en Business Development)