NIS2-Richtlijn: Nieuwe eisen voor cybersecurity in de EU

Background

De NIS2-richtlijn, ook bekend als de nieuwe versie van de Network and Information Security Directive, is een Europese richtlijn gericht op het versterken van de cybersecurity in de Europese Unie (EU). Nu de richtlijn eindelijk officieel is gepubliceerd, hebben de lidstaten 21 maanden de tijd – dat wil zeggen tot 17 oktober 2024 – om de vereisten van deze nieuwe cybersecurity richtlijn te integreren in lokale wetgeving.

Meer weten over de NIS2-richtlijn en wat deze voor uw organisatie betekent? Neem vrijblijvend contact op met een specialist.

Wat is de Network and Information Security Directive (NIS) en waarom is deze bijgewerkt?

De EU lanceerde de NIS-richtlijn in 2016 naar aanleiding van de toegenomen bezorgdheid over cyberaanvallen. De richtlijn versterkte niet alleen de cyberbeveiligingscapaciteiten van de lidstaten, maar hoopte ook de samenwerking tussen de lidstaten op het gebied van cyberbeveiliging te vergroten. De richtlijn moedigde landen ook aan om toezicht te houden op cyberbeveiliging in hun kritieke infrastructuur, zoals energie, transport en gezondheidszorg.

Zeven jaar na de lancering van de richtlijn is het cyberdreigingslandschap aanzienlijk veranderd en voldoet de richtlijn niet helemaal aan de behoeften van de veranderende vooruitzichten voor cyberbeveiligingsrisico’s in 2023. Cyberaanvallen en datalekken zijn exponentieel toegenomen, vooral omdat mensen steeds afhankelijker worden van digitale technologie. Daarnaast laten de toegenomen aanvallen op CNI, zoals bij de SolarWinds-aanval, gaten in de oorspronkelijke NIS-wetgeving en inconsistenties in de manier waarop lidstaten NIS hebben geïmplementeerd, de beperkingen van het vorige model zien en de behoefte aan een uitgebreidere vervanging.

“Deze Europese richtlijn gaat ongeveer 160.000 entiteiten helpen hun greep op de veiligheid te versterken en van Europa een veilige plaats om te leven en om te werken maken. De wet moet ook het delen van informatie met de particuliere sector en partners over de hele wereld mogelijk maken. Als we op industriële schaal worden aangevallen, moeten we op industriële schaal reageren”, zei Bart Groothuis van het Europees Parlement.

Wanneer en voor wie geldt de NIS2-richtlijn?

De NIS2 is van toepassing op alle organisaties die binnen de EU actief zijn of activiteiten uitvoeren die een essentiële dienst verlenen aan consumenten (d.w.z. dat ze voldoen aan de beschrijving van een ‘essentiële’ of ‘belangrijke’ organisatie in een bepaalde lijst van sectoren). Voorbeelden zijn internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Opvallende uitzonderingen zijn kleinere bedrijven die als essentieel kunnen worden beschouwd, maar niet voldoen aan een maximumomvang (naar verwachting 10 miljoen euro jaaromzet en/of minder dan 50 werknemers) en andere entiteiten die expliciet zijn uitgesloten door de lidstaten.

Het NIS2 kan organisaties als essentieel of belangrijk bestempelen – waarvoor dezelfde eisen voor cyberbeveiligingsbeheer en verplichtingen voor het melden van incidenten gelden onder het NIS2. Wat is het grootste verschil tussen essentiële en belangrijke organisaties? Toezicht op naleving. Voor essentiële aanbieders, voornamelijk partijen in vitale sectoren, moet monitoring strikt proactief zijn en duidelijk terug te vinden zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor organisaties in belangrijke sectoren zal monitoring reactief zijn, wanneer er bewijs is van een cyberincident.

Overzicht van essentiële en belangrijke sectoren volgens de NIS2-richtlijn

De vernieuwde richtlijn heeft een breder toepassingsgebied (meer sectoren en meer organisaties) dan de NIS1-richtlijn en heeft als doel de digitale weerbaarheid in alle EU-lidstaten gelijk te trekken en te vergroten. NIS2 wordt naar verwachting uiterlijk in oktober 2024 van kracht. “Voor veel MKB-bedrijven zal NIS2 geen impact hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en krijg je vaker bezoek van een toezichthouder”, legt Bart Groothuis uit.

Wat zijn de belangrijkste vereisten van de NIS2-richtlijn?

NIS2 zal de problemen met de vorige NIS-wetgeving aanpakken en de regels aanscherpen. Het belangrijkste betreft de inconsistente manier waarop de oorspronkelijke NIS-richtlijn werd geïmplementeerd, omdat dit de samenwerking tussen landen bemoeilijkte en het algehele doel van het waarborgen van de effectiviteit van de cyberbeveiliging in de EU ondermijnde.

Met NIS2 moeten organisaties de volgende maatregelen nemen om de risico’s op het gebied van cyberbeveiliging te beheersen:

Informatiebeveiligingsbeleid

Een cruciaal onderdeel van cyberbeveiliging is het inschatten van het risiconiveau. NIS2 vereist dat bedrijven de mogelijke impact van een aanval op hun meest vitale bedrijfsmiddelen evalueren en alert zijn op mogelijke kwetsbaarheden in netwerken of nieuws over aanvallen op andere leden van de sector. Ze moeten risicobeheer ook eerder proactief dan reactief benaderen door een sterk informatiebeveiligingsbeleid in te voeren om een systematische en grondige risicoanalyse te garanderen.

Incidentpreventie, detectie en respons

NIS2 vereist dat organisaties plannen en back-upplannen hebben, oefeningen houden en alle relevante partijen trainen. Zodra een organisatie haar belangrijkste kwetsbaarheden heeft geïdentificeerd, moeten ze volgens de bijgewerkte richtlijn duidelijke procedures implementeren om aanvallen te voorkomen en afspraken maken over methoden om potentiële incidenten te detecteren. Dit moet resulteren in een incident response plan met een transparante commandostructuur voor de implementatie.

Continuïteit en crisisbeheer

De beveiliging van de toeleveringsketen ligt wereldwijd al enige tijd onder een vergrootglas. NIS2 maakt dit nog eens extra duidelijk en verplicht organisaties om de kwetsbaarheden van al hun leveranciers en dienstverleners en hun cyberbeveiligingspraktijken, met inbegrip van aanbieders van gegevensopslag, in overweging te nemen. De richtlijn zorgt ervoor dat organisaties de risico’s duidelijk begrijpen, een nauwe relatie onderhouden met leveranciers en de beveiliging voortdurend bijwerken om de hoogst mogelijke bescherming te garanderen. 

Beveiliging van de toeleveringsketen

De bijgewerkte NIS2 moet ervoor zorgen dat een organisaties hun activiteiten kunnen voortzetten in het geval van een cyberaanval. Een organisatie moet een aantoonbaar plan hebben voor hoe deze zal reageren op een aanval en hoe het daar zo snel mogelijk van kan herstellen, met minimale verstoring. Als gevolg hiervan bevat NIS2 een focus op Cloudgebaseerde back-up oplossingen.

Openbaarmaking van kwetsbaarheden

NIS2 vereist een transparantere openbaarmaking en beheer van kwetsbaarheden. Organisaties moeten het publiek manieren bieden om kwetsbaarheden te melden en ervoor zorgen dat de relevante afdeling actie onderneemt naar aanleiding van deze informatie. Als een organisatie een kwetsbaarheid in hun netwerk ontdekt, moeten ze die volgens de bijgewerkte richtlijn openbaar maken. Openbaarmaking van dergelijke kwetsbaarheden ondersteunt de strijd tegen cybercriminaliteit en zorgt ervoor dat ze niet elders worden misbruikt.

Openbaarmaking van kwetsbaarheden

NIS2 vereist een transparantere openbaarmaking en beheer van kwetsbaarheden. Organisaties moeten het publiek manieren bieden om kwetsbaarheden te melden en ervoor zorgen dat de relevante afdeling actie onderneemt naar aanleiding van deze informatie. Als een organisatie een kwetsbaarheid in hun netwerk ontdekt, moeten ze die volgens de bijgewerkte richtlijn openbaar maken. Openbaarmaking van dergelijke kwetsbaarheden ondersteunt de strijd tegen cybercriminaliteit en zorgt ervoor dat ze niet elders worden misbruikt.

NIS2 zal ook een bijgewerkte aanpak opleggen voor:

Melding van incidenten

Volgens de bijgewerkte richtlijn moeten bedrijven binnen 24 uur na het bekend worden van een “significant” incident een eerste melding indienen, binnen 72 uur een volledige melding van het incident en binnen een maand een eindrapport aan de relevante bevoegde autoriteit, het Computer Security Incident Response Team (CSIRT) en soms ook aan hun klanten.

Een “significant” incident is een incident dat ernstige operationele onderbreking van de service of financiële verliezen heeft veroorzaakt of kan veroorzaken, of als het incident aanzienlijke verliezen heeft veroorzaakt of kan veroorzaken voor anderen.

Samenwerking

Een van de hiaten van de eerste NIS-richtlijn was een gebrek aan aandacht tegenover de verschillende manieren waarop individuele landen te werk gingen. Daarom zal NIS2:

  • Meer gegevensuitwisseling tussen autoriteiten aanmoedigen
  • Autoriteiten verplichten om deel te nemen aan incidentenbestrijding op EU-niveau in plaats van op nationaal niveau
  • Een EU-Cyber Crisis Liaison Organisation Network (EU CyCLONe) oprichten, een centraal orgaan voor het coördineren en beheren van reacties op cyberincidenten in de hele EU

Door cyberbeveiligingscontroles op EU-niveau te centraliseren en te eisen dat iedereen zich aan dezelfde cyberbeveiligingsnormen houdt, wil NIS2 een voorheen onvoldoende gecoördineerd systeem vereenvoudigen. Dit moet het makkelijker maken om gegevens gezamenlijk te delen en efficiëntere oplossingen te vinden voor cyberincidenten.

Wat zijn de gevolgen van niet-naleving van NIS2?

NIS2 omvat veel strengere handhavingseisen dan zijn voorganger. Sancties voor niet-naleving variëren van een beveiligingsaudit en de opdracht om vastgestelde aanbevelingen op te volgen tot boetes van €10 miljoen of 2% van de totale wereldwijde omzet van de organisatie, afhankelijk van welk getal hoger is.

Deze boetes zijn dezelfde als die voor AVG-overtredingen, waardoor de NIS2-richtlijn op een soortgelijke manier moet worden opgevat. In die zin vertegenwoordigt NIS2 een grote sprong op het gebied van cyberbeveiliging wat betekent dat deze net zo serieus moet worden genomen als de enorme verandering die de AVG teweeg heeft gebracht op het gebied van gegevensbescherming.

Voorbereiden op NIS2 met ISO 27001

Voor organisaties die willen voldoen aan de NIS2 richtlijn, kan certificering volgens ISO 27001 voor informatiebeveiliging een krachtige eerste stap zijn.

In de NIS-regelgeving zelf staat dat bij alle stappen die bedrijven nemen om aan de regelgeving te voldoen, rekening moet worden gehouden met “naleving van internationale normen”, terwijl in de technische richtlijnen van het Europees Agentschap voor Cyberveiligheid (ENISA) elke beveiligingsdoelstelling wordt gekoppeld aan diverse normen voor beste praktijken, waaronder ISO 27001. 

Een informatiebeheersysteem (ISMS) dat voldoet aan ISO 27001 stelt organisaties in staat om hun risico’s en blootstelling aan beveiligingsrisico’s te verminderen door het identificeren van de relevante beleidsregels die ze moeten documenteren, de technologieën om zichzelf te beschermen en de training van het personeel om fouten te voorkomen. Ze verplichten organisaties ook om jaarlijkse risicobeoordelingen uit te voeren, waardoor ze het steeds veranderende risicolandschap voor kunnen blijven.

ISO 27001 helpt organisaties te voldoen aan de NIS2-vereisten en tegelijkertijd een onafhankelijk geauditeerde certificering te behalen. Dit levert het bewijs aan leveranciers, belanghebbenden en regelgevende instanties dat u de nodige technische en organisatorische maatregelen hebt genomen om op verantwoorde wijze met gevoelige gegevens om te gaan.

Wilt u meer weten over hoe ISO 27001 u kan helpen met de nieuwe NIS2-richtlijn? Aarzel niet om een adviesgesprek met ons in te plannen.