Onze bedrijfsvoering is digitaler dan ooit. Tegelijkertijd neemt het aantal cyberaanvallen toe en worden hackers steeds slimmer. Daarom zet de EU stappen om maatschappelijk cruciale sectoren te beschermen tegen cybercrime. Met de NIS2-richtlijn, die naar verwachting eind 2024 in werking treedt, worden de cybersecurity-eisen aan bedrijven in deze sectoren flink opgeschroefd. Maar wat betekent de NIS2-richtlijn voor jou? Moet je al aan de slag met de nieuwe regelgeving? We zochten het voor je uit.
Wat is NIS2?
NIS2 is bedoeld om extra bescherming te bieden aan de sectoren die een belangrijke rol spelen in onze samenleving. Denk aan drinkwaterbedrijven, energieleveranciers, afvalbeheerders en vervoersbedrijven. Wordt zo’n bedrijf het slachtoffer van een grootschalige cyberaanval en kan het daardoor niet meer functioneren, dan kan dit flinke maatschappelijke en economische gevolgen hebben.
Om deze sectoren te beschermen, introduceerde de EU in 2016 de eerste NIS-richtlijn. De afkorting staat voor Netwerk- en Informatiesystemen en dat is precies waar de set regels zich op focust. Wat is dan de NIS2? Dat is de aangescherpte versie van de bestaande richtlijn, die naar verwachting eind 2024 ingaat. Hierin verhoogt de EU de gestelde cybersecurity-eisen en wordt de definitie van bedrijven die essentiële diensten leveren uitgebreid. We zetten de verschillen op een rij:
NIS1:
- richt zich op maatschappelijk essentiële, ICT-afhankelijke sectoren;
- beboet alleen na een datalek of hack.
NIS2:
- richt zich naast maatschappelijk essentiële, ICT-afhankelijke sectoren ook op samenwerkingspartners van die sectoren;
- beboet niet alleen na een datalek of hack, maar ook als je organisatie niet aan de NIS2-eisen voldoet.
Voor wie is de NIS2?
Onder de NIS2-richtlijn wordt de lijst van organisaties die eronder vallen flink uitgebreid. NIS2 geldt voor organisaties uit deze sectoren: energie, vervoer, infrastructuur voor banken en de financiële markt, gezondheidszorg, drinkwater, telecommunicatie, chemicaliën, levensmiddelen, post- en koeriersdiensten, bepaalde overheidsdiensten, platforms voor sociale netwerken, ruimtevaart, afvalbeheer, afvalwaterbeheer, entiteiten van het openbaar bestuur van centrale overheden en bepaalde digitale dienstverleners.
Wanneer wordt de NIS2 van kracht en wat moet ik dan doen?
De grote vraag! Allereerst is nog niet helemaal duidelijk wanneer de NIS2 in Nederland geïmplementeerd wordt. De regelgeving zou op Europees niveau op 17 oktober 2024 in werking treden, maar daarvoor moet de richtlijn in de nationale wetgevingen worden uitgewerkt. Nederland gaat die datum niet redden en dus wordt de NIS2 later van kracht dan verwacht.
Daar plaatsen we wel de kanttekening bij dat organisaties die momenteel onder de NIS1 vallen, waarschijnlijk per 17 oktober 2024 onder de NIS2 vallen. Je organisatie moet dan alsnog aan de Europese regelgeving voldoen. Ook bestaat de kans dat je nu niet onder de NIS1 valt, maar straks wel onder de NIS2. Hoe dan ook, je zult op den duur actie moeten ondernemen. Ook als jouw bedrijf in een sector zit die verder van de maatschappelijk essentiële sectoren af staat. Want wetgeving of niet, je hebt altijd de verantwoordelijkheid naar je klanten en medewerkers om zo veilig mogelijk te werken.
De NIS2-eisen en hoe ze na te leven
De NIS2-eisen zijn eigenlijk een pakket van cybersecuritymaatregelen. Dat zijn onder andere:
- Software-updates installeren
- Multifactorauthenticatie toepassen
- Netwerken segmenteren
- Je opslagmedia met gevoelige informatie versleutelen
- Regelmatig back-ups maken
- Bepalen wie toegang heeft tot je data
Helemaal geen gek rijtje maatregelen, toch?
Daarnaast stelt de richtlijn een drietal verplichtingen:
- Zorgplicht: je moet een risicobeoordeling van je ICT-infrastructuur doen en vervolgens de maatregelen nemen om je diensten te waarborgen en je data te beschermen.
- Meldplicht: vindt er een cyberincident plaats dat je dienstverlening flink kan verstoren, dan ben je verplicht dat binnen 24 uur te melden bij de toezichthouder en het Computer Security Incident Response Team (CSIRT).
- Toezicht: val je onder de NIS2-richtlijn, dan kom je automatisch onder een onafhankelijk toezichthouder te staan.
Voldoe jij al aan de NIS2?
Het kan lastig zijn om te bepalen of je aan de NIS2-richtlijn voldoet. Welke securitymaatregelen uit het rijtje hierboven zijn ingericht en welke niet? Om dat uit te zoeken, kun je een ICT-specialist inschakelen. Die maakt inzichtelijk hoe jouw ICT ervoor staat en waar je nog een verbeterslag kan maken in je beveiliging. Zo voldoe jij netjes aan de meest up-to-date cybersecuritymaatregelen, of je nu tot de essentiële sectoren behoort of niet.