NIS2

Wat is NIS2?

NIS2 is een EU-richtlijn die gericht is op het creëren van een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie. De richtlijn is in januari 2023 in werking getreden en verplicht de lidstaten om de richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. De richtlijn bevat onder andere maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging en verplichtingen op het gebied van het melden van incidenten. Als opvolger van de NIS-richtlijn bevat de NIS2-richtlijn strengere eisen voor een breder scala van actoren, waaronder een bredere reeks verplichte maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging, en nieuwe vereisten voor het melden van incidenten. Het bestuur dient een cruciale en actieve rol te spelen bij het goedkeuren van maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging. In het geval van essentiële entiteiten kan het bestuur ook persoonlijk aansprakelijk worden gesteld. Het niet-naleven van de regels kan worden bestraft met boetes tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet.

Op wie is NIS2 van toepassing?

De NIS2-richtlijn is van toepassing op de volgende sectoren:

·        Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart

·       Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

De richtlijn is van toepassing op organisaties binnen deze sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

Organisaties waarop de NIS2-richtlijn van toepassing is worden minimaal als “belangrijke entiteit” aangemerkt. Echter, organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

Wat zijn de belangrijkste onderwerpen?

Voor de organisaties die onder de NIS2-richtlijn vallen, legt de richtlijn risicobeheer- en rapportageverplichtingen op. Aangezien de richtlijn nog moet worden vertaald naar nationale wetgeving, erkent het NCSC dat er op dit moment enige onduidelijkheid bestaat over de specifieke verplichtingen waarmee deze organisaties te maken krijgen. Op basis van Demiroz Consultancy B.V.’s analyse van de NIS2-richtlijn zou uw organisatie in ieder geval aandacht moeten besteden aan de volgende onderwerpen: risico-eigenaarschap, beveiligingsvereisten, beveiliging van de toeleveringsketen, en het melden van incidenten.
Onderwerp 1: risico-eigenaarschap

Onder NIS2 dient het bestuur een cruciale en actieve rol te hebben in het waarborgen van de naleving van de vereisten op het gebied van risicobeheersing. Volgens NIS2 dient het bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Het bestuur dient verder trainingen te volgen om voldoende kennis en vaardigheden op te doen om invulling aan hun verantwoordelijkheden te geven.
Onderwerp 2: beveiligingsvereisten

Artikel 21 van de NIS2 richtlijn bevat een lijst van maatregelen voor het beheer van cyberbeveiligingsrisico’s die essentiële en belangrijke entiteiten moeten treffen om hun netwerk en informatiesystemen te beschermen. Een aantal van deze maatregelen zijn incidentbehandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken op het gebied van cyberhygiëne en beleid en procedures inzake het gebruik van encryptie.
Onderwerp 3: beveiliging van de toeleveringsketen

Indien uw organisatie onder de NIS2 richtlijn valt, is de beveiliging van de toeleveringsketen één van de maatregelen voor het beheer van cyberbeveiligingsrisico’s, zoals hierboven benoemd, om specifiek aandacht aan te besteden. Als onderdeel van deze maatregel, moet uw organisatie kijken naar beveiliging gerelateerde aspecten van de relaties met leveranciers en dienstverleners. Dit omvat, onder andere, de taak om kwetsbaarheden met betrekking tot de leveranciers en dienstverleners te identificeren. Een ander aspect om naar te kijken is de kwaliteit van de producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelprocedures.
Onderwerp 4: het melden van incidenten

In het geval van een significant incident moeten essentiële en belangrijke entiteiten het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit binnen 24 uur een vroegtijdige waarschuwing geven en binnen 72 uur het incident melden. Bovendien moet de organisatie haar klanten informeren over incidenten die de levering van de dienst nadelig kunnen beïnvloeden. Significante incidenten worden in de richtlijn gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, evenals aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft.

Toezicht en handhaving

De NIS2-richtlijn voorziet in zowel toezichts- als handhavingsmaatregelen. Essentiële entiteiten kunnen, onder andere, inspecties ter plaatse, toezicht buiten de locatie, en beveiligingsscans, verwachten. Dit geldt ook voor belangrijke entiteiten, maar alleen als er bewijs, aanwijzingen of informatie is dat de belangrijke entiteit niet zou voldoen aan de richtlijn. Handhavingsmaatregelen omvatten waarschuwingen, bindende instructies en administratieve boetes tot EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet van de organisatie. De bestuursorganen kunnen ook te maken krijgen met persoonlijke aansprakelijkheid en personen met leidinggevende verantwoordelijkheden op het niveau van de algemeen directeur van een essentiële entiteit kan tijdelijk verboden worden een leidinggevende functies uit te oefenen.

Wat zijn de vervolgstappen?

Als uw organisatie onder de NIS2-richtlijn valt, is het van belang vroeg te beginnen met de voorbereidingen, omdat sommige van de hierboven genoemde onderwerpen tijd kosten om te implementeren. Daarom adviseert Demiroz Consultancy B.V. organisaties om, voorafgaand aan de vertaling van de NIS2-richtlijn naar Nederlandse wetgeving, te starten met de voorbereidingen door te kijken naar de veiligheid en weerbaarheid van hun processen en diensten.

Bij de voorbereidingen op NIS2 moet uw organisatie rekening houden met andere EU-richtlijnen en -verordeningen. Denk hierbij aan de Directive on the Resilience of Critical Entities (CER), Cyber Resilience Act (CRA), AI Act, en Digital Operational Resilience Act (DORA), die elkaar kunnen overlappen in verplichtingen. Zo kan het proces voor het melden van incidenten dat voor GDPR is ontwikkeld als basis gebruikt worden om te voldoen aan de eisen die NIS2 op dit gebied stelt. Door het tegelijkertijd aanpakken van meerdere EU-richtlijnen en -verordeningen of door voort te bouwen op reeds ontwikkelde processen in overeenstemming met andere EU-richtlijnen of -verordeningen, kunnen dubbele inspanningen voorkomen worden.

Demiroz Consultancy B.V. kan uw organisatie helpen om NIS2 op een integrale manier aan te pakken. Onze aanpak focust op het gebruik maken van bestaande processen binnen uw organisatie als basis om aan NIS2 te voldoen, terwijl we rekening houden met andere EU-richtlijnen en -verordeningen. Ondanks dat er nog enige onduidelijkheid is over de implementatie van NIS2 in de Nederlandse wetgeving, kunnen wij ondersteunen bij het identificeren van de nodige acties om uw organisatie te helpen met het zetten van de eerste stappen. Onze aanpak bevat onder andere:

·       Een health check voor het creëren van een hoog-over overzicht van de voornaamste aandachtspunten van uw organisatie voor NIS2.

·       Een readiness assessment voor het identificeren van de volgende stappen en het opzetten van een roadmap voor uw organisatie.

·       De implementatie van security capabilities, waaronder incident response, third-party risk management en training.

Wilt u verder praten? Neem dan contact met ons op.

Industrial Control Security Management

Informatie- en industriële controle systemen (ICS) worden gebruikt om industriële machines te controleren en bewaken. ICS zijn essentieel voor de continuïteit van vitale infrastructuren en daarom is het van belang om deze systemen optimaal te beveiligen. Wij kunnen helpen uw ICS te beschermen tegen onbevoegden, manipulatie van processen en schade aan systemen.

Supply Chain Security Management

Hoogwaardige beveiligingsinbreuken hebben aangetoond dat het beveiligen van uw Supply Chain van essentieel belang is voor de informatiebeveiliging van uw organisatie. Wij beoordelen de beveiliging binnen uw Supply Chain door het in kaart brengen van alle suppliers die bedrijfsgevoelige informatie bezitten, het beoordelen van de contracten en de daarin gemaakte afspraken en het beoordelen van de reeds door de organisatie getroffen maatregelen. Op basis van dit onderzoek geven wij aanbevelingen om de informatiebeveiliging binnen de Supply Chain te verbeteren.

Onafhankelijke Security Advies

Wilt u de informatiebeveiliging liever niet volledig uitbesteden maar wenst u een sparringpartner of tijdelijke ondersteuning op afstand of intern? Denk hierbij aan een strategische verandering, het implementeren van een nieuw process, het verhogen van het bewustzijn van informatiebeveiliging enzovoort. Wij bieden Independent Security Advisors aan, die kunnen optreden als uw informatie beveiligingspartner, direct beveiligingsexpertise verlenen en specialistische vaardigheden bieden. Wij helpen u graag verder op weg in het beveiligen van uw informatie.

Cyber Weerbaarheid

Tegenwoordig is de kans dat er een cyberincident plaatsvindt zeer groot. Hierbij is het cruciaal dat de onderneming juist en tijdig reageert op een cyberaanval met behulp van een vooraf gedefinieerd en getest Cyber Response Plan. Wij kunnen uw organisatie ondersteunen met het opsporen van en verdedigen tegen bedreigingen van aanvallers, georganiseerde misdaad en (kwaadwillende) insiders.

Healthcheck

De Healthcheck is een strategische tool waarin reeds getroffen informatiebeveiligingsmaatregelen worden beoordeeld, verbeterd en aanvullende maatregelen geadviseerd. Dit wordt gedaan door een stapsgewijze analyse waarin diverse onderwerpen aan bod komen en bevindingen worden gedaan. Op basis van deze bevindingen worden er aanbevelingen opgesteld en in een persoonlijk gesprek teruggekoppeld. De onderwerpen van onze Healthcheck zijn:

  • Beleid, bedrijf en verantwoordelijkheden
  • Incident Management
  • Industrial Control Systems
  • Intellectuele eigendommen
  • Middelenbeheer
  • Operationeel Management
  • Supply Chain Management
  • Toegangsbeheer
  • Verandermanagement

Risicomanagement

Risicomanagement is een proces waarbij informatie risico’s worden geïdentificeerd, beoordeeld en beheerst zodat er een totaalbeeld wordt gecreëerd. Met het implementeren van het Risk Management proces is uw organisatie in staat weloverwogen keuzes te maken omtrent toekomstige plannen en investeringen. Wij begeleiden uw informatiebeveiligingsmedewerkers met het implementeren van het vijf-fasen proces bestaande uit:

  • Stap 1: Scope bepalen
  • Stap 2: Risk Assessment
    • Stap 2a: Identificeren van de risico’s
    • Stap 2b: Analyseren en evalueren van de risico’s
  • Stap 3: Business Impact Assessment
  • Stap 4: Risicobeheersing
  • Stap 5: Monitoren en controleren van de risico’s en de getroffen maatregelen

Deze aanpak is geschikt voor grote bedrijven waarbij de inbreuk op bedrijfsgevoelige informatie een grote impact heeft voor zowel de interne als de externe omgeving van het bedrijf.