De NIS2-richtlijn, ook bekend als de nieuwe versie van de Network and Information Security Directive, is een Europese richtlijn gericht op het versterken van de cybersecurity in de Europese Unie (EU). Nu de richtlijn eindelijk officieel is gepubliceerd, hebben de lidstaten 21 maanden de tijd - dat wil zeggen tot 17 oktober 2024 - om de vereisten van deze nieuwe cybersecurity richtlijn te integreren in lokale wetgeving.
Want to learn more about the NIS2 guideline and what it means for your organization? Contact a specialist without obligation.
Table of contents
What is the Network and Information Security Directive (NIS) and why has it been updated?
The EU launched the NIS Directive in 2016 in response to increased concerns about cyber attacks. The directive not only strengthened member states' cybersecurity capabilities, but also hoped to increase cybersecurity cooperation among member states. The directive also encouraged countries to monitor cybersecurity in their critical infrastructure, such as energy, transportation and healthcare.
Zeven jaar na de lancering van de richtlijn is het cyberdreigingslandschap aanzienlijk veranderd en voldoet de richtlijn niet helemaal aan de behoeften van de veranderende vooruitzichten voor cyberbeveiligingsrisico's in 2023. Cyberaanvallen en datalekken zijn exponentieel toegenomen, vooral omdat mensen steeds afhankelijker worden van digitale technologie. Daarnaast laten de toegenomen aanvallen op CNI, zoals bij de SolarWinds attack, gaps in the original NIS legislation and inconsistencies in how member states have implemented NIS, see the limitations of the previous model and the need for a more comprehensive replacement.
"Deze Europese richtlijn gaat ongeveer 160.000 entiteiten helpen hun greep op de veiligheid te versterken en van Europa een veilige plaats om te leven en om te werken maken. De wet moet ook het delen van informatie met de particuliere sector en partners over de hele wereld mogelijk maken. Als we op industriële schaal worden aangevallen, moeten we op industriële schaal reageren", said Bart Groothuis of the European Parliament.
When and to whom does the NIS2 guideline apply?
De NIS2 is van toepassing op alle organisaties die binnen de EU actief zijn of activiteiten uitvoeren die een essentiële dienst verlenen aan consumenten (d.w.z. dat ze voldoen aan de beschrijving van een 'essentiële' of 'belangrijke' organisatie in een bepaalde lijst van sectoren). Voorbeelden zijn internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Opvallende uitzonderingen zijn kleinere bedrijven die als essentieel kunnen worden beschouwd, maar niet voldoen aan een maximumomvang (naar verwachting 10 miljoen euro jaaromzet en/of minder dan 50 werknemers) en andere entiteiten die expliciet zijn uitgesloten door de lidstaten.
The NIS2 can help organizations like essential or important bestempelen - waarvoor dezelfde eisen voor cyberbeveiligingsbeheer en verplichtingen voor het melden van incidenten gelden onder het NIS2. Wat is het grootste verschil tussen essentiële en belangrijke organisaties? Toezicht op naleving. Voor essentiële aanbieders, voornamelijk partijen in vitale sectoren, moet monitoring strikt proactief zijn en duidelijk terug te vinden zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor organisaties in belangrijke sectoren zal monitoring reactief zijn, wanneer er bewijs is van een cyberincident.
De vernieuwde richtlijn heeft een breder toepassingsgebied (meer sectoren en meer organisaties) dan de NIS1-richtlijn en heeft als doel de digitale weerbaarheid in alle EU-lidstaten gelijk te trekken en te vergroten. NIS2 wordt naar verwachting uiterlijk in oktober 2024 van kracht. "Voor veel MKB-bedrijven zal NIS2 geen impact hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en krijg je vaker bezoek van een toezichthouder", legt Bart Groothuis uit.
What are the main requirements of the NIS2 guideline?
NIS2 will address the problems with the previous NIS legislation and tighten the rules. The main one concerns the inconsistent way the original NIS directive was implemented, as it made cooperation between countries difficult and undermined the overall goal of ensuring the effectiveness of cybersecurity in the EU.
Met NIS2 moeten organisaties de volgende maatregelen nemen om de risico's op het gebied van cyberbeveiliging te beheersen:
Information Security Policy
A critical component of cybersecurity is assessing the level of risk. NIS2 requires companies to evaluate the potential impact of an attack on their most vital assets and be alert to potential vulnerabilities in networks or news of attacks on other members of the industry. They should also approach risk management proactively rather than reactively by implementing strong information security policies to ensure systematic and thorough risk analysis.
Incident prevention, detection and response
NIS2 requires organizations to have plans and backup plans, conduct exercises and train all relevant parties. Once an organization has identified its key vulnerabilities, the updated guideline requires them to implement clear procedures to prevent attacks and agree on methods to detect potential incidents. This should result in an incident response plan with a transparent command structure for implementation.
Continuity and crisis management
De beveiliging van de toeleveringsketen ligt wereldwijd al enige tijd onder een vergrootglas. NIS2 maakt dit nog eens extra duidelijk en verplicht organisaties om de kwetsbaarheden van al hun leveranciers en dienstverleners en hun cyberbeveiligingspraktijken, met inbegrip van aanbieders van gegevensopslag, in overweging te nemen. De richtlijn zorgt ervoor dat organisaties de risico's duidelijk begrijpen, een nauwe relatie onderhouden met leveranciers en de beveiliging voortdurend bijwerken om de hoogst mogelijke bescherming te garanderen.
Supply chain security
The updated NIS2 should ensure that an organizations can continue operations in the event of a cyber attack. An organization must have a demonstrable plan for how it will respond to an attack and how it can recover from it as quickly as possible, with minimal disruption. As a result, NIS2 includes a focus on Cloud-based backup solutions.
Disclosure of vulnerabilities
NIS2 requires more transparent disclosure and management of vulnerabilities. Organizations must provide ways for the public to report vulnerabilities and ensure that the relevant department takes action on this information. If an organization discovers a vulnerability in their network, the updated directive requires them to disclose it. Disclosure of such vulnerabilities supports the fight against cybercrime and ensures that they are not exploited elsewhere.
Disclosure of vulnerabilities
NIS2 requires more transparent disclosure and management of vulnerabilities. Organizations must provide ways for the public to report vulnerabilities and ensure that the relevant department takes action on this information. If an organization discovers a vulnerability in their network, the updated directive requires them to disclose it. Disclosure of such vulnerabilities supports the fight against cybercrime and ensures that they are not exploited elsewhere.
NIS2 will also impose an updated approach for:
Incident reporting
Volgens de bijgewerkte richtlijn moeten bedrijven binnen 24 uur na het bekend worden van een "significant" incident een eerste melding indienen, binnen 72 uur een volledige melding van het incident en binnen een maand een eindrapport aan de relevante bevoegde autoriteit, het Computer Security Incident Response Team (CSIRT) en soms ook aan hun klanten.
Een "significant" incident is een incident dat ernstige operationele onderbreking van de service of financiële verliezen heeft veroorzaakt of kan veroorzaken, of als het incident aanzienlijke verliezen heeft veroorzaakt of kan veroorzaken voor anderen.
Collaboration
One of the gaps in the first NIS guideline was a lack of consideration versus the different ways individual countries were proceeding. Therefore, NIS2:
- Encourage more data sharing between authorities
- Require authorities to participate in incident response at EU level rather than national level
- Establish an EU Cyber Crisis Liaison Organization Network (EU CyCLONe), a central body to coordinate and manage responses to cyber incidents across the EU
By centralizing cybersecurity controls at the EU level and requiring everyone to adhere to the same cybersecurity standards, NIS2 aims to simplify a previously insufficiently coordinated system. This should make it easier to share data collectively and find more efficient solutions to cyber incidents.
What are the consequences of non-compliance with NIS2?
NIS2 includes much stricter enforcement requirements than its predecessor. Penalties for noncompliance range from a security audit and the order to follow established recommendations to fines of €10 million or 2% of the organization's total worldwide sales, depending on which number is higher.
These fines are the same as those for AVG violations, so the NIS2 directive should be understood in a similar way. In this sense, NIS2 represents a major leap in cybersecurity which means it should be taken as seriously as the huge change brought about by the AVG in the area of data protection.
Preparing for NIS2 with ISO 27001
For organizations seeking to comply with the NIS2 guideline, can certification according to ISO 27001 for information security are a powerful first step.
In de NIS-regelgeving zelf staat dat bij alle stappen die bedrijven nemen om aan de regelgeving te voldoen, rekening moet worden gehouden met "naleving van internationale normen", terwijl in de technische richtlijnen van het Europees Agentschap voor Cyberveiligheid (ENISA) elke beveiligingsdoelstelling wordt gekoppeld aan diverse normen voor beste praktijken, waaronder ISO 27001.
Een informatiebeheersysteem (ISMS) dat voldoet aan ISO 27001 stelt organisaties in staat om hun risico's en blootstelling aan beveiligingsrisico's te verminderen door het identificeren van de relevante beleidsregels die ze moeten documenteren, de technologieën om zichzelf te beschermen en de training van het personeel om fouten te voorkomen. Ze verplichten organisaties ook om jaarlijkse risicobeoordelingen uit te voeren, waardoor ze het steeds veranderende risicolandschap voor kunnen blijven.
ISO 27001 helps organizations meet NIS2 requirements while achieving independently audited certification. This provides proof to vendors, stakeholders and regulators that you have the necessary technical and organizational measures in place to responsibly handle sensitive data.
Want to learn more about how ISO 27001 can help you with the new NIS2 directive? Don't hesitate to schedule a consultation with us.