Voor veel organisaties is digitale weerbaarheid al lang geen vrijblijvende keuze meer, maar een noodzaak. De Europese wetgeving legt met NIS2 de lat hoger voor cybersecurity en risicomanagement.
In een eerder artikel benoemden wij dat de Rijksoverheid organisaties al enige tijd oproept om zich voor te bereiden op de aankomende ‘Cyberbeveiligingswet’, zoals de NIS2-richtlijn wordt geïmplementeerd in Nederland. Maar wat betekent dat voor organisaties in Nederland? En wat kunt u doen om uw organisatie voor te bereiden?
Voor wie geldt de Cyberbeveiligingswet?
De Cyberbeveiligingswet (implementatiewet NIS2-richtlijn) geldt niet voor elke organisatie. Organisaties in zeer kritieke sectoren, zoals energie, gezondheidszorg en vervoer, vallen onder deze wet. Ook organisaties in kritieke sectoren, zoals afvalbeheer, postdiensten en digitale diensten, moeten aan de wet voldoen.
De Rijksoverheid biedt een NIS2 Zelfevaluatie NL aan, waarmee u erachter kunt komen of uw organisatie onder de NIS2 valt.
De vervolgstappen
De overheid geeft handvaten om te controleren hoe u ervoor staat conform de strekking van de Europese NIS2-richtlijn door middel van een NIS2 Quickscan. De Quickscan geeft u adviezen en hulpmiddelen om de eerste stappen in de goede richten te zetten met technische of organisatorische maatregelen. De scan is bedoeld als eerste hulpmiddel en geeft geen garantie dat uw organisatie al voldoet aan de toekomstige cyberbeveiligingswet in Nederland.
Het behalen van een ISO 27001-certificaat is vanuit de Cyberbeveiligingswet geen wettelijke verplichting, maar kan wel een waardevolle eerste stap zijn. Als onderdeel van ISO 27001 implementatie zet je als organisatie een Information Security Management System (ISMS) op: een gestructureerd raamwerk waarmee risico’s in kaart worden gebracht, beveiligingsmaatregelen worden vastgelegd en de naleving beter kan worden aangetoond. Een ISMS is niet een expliciete verplichting vanuit de Cyberbeveiligingswet. De wet vereist wel dat organisaties passende technische en organisatorische maatregelen treffen om risico’s voor netwerk- en informatiesystemen te beheersen. In de praktijk betekent dit dat veel organisaties een gestructureerde en aantoonbare aanpak hanteren voor informatiebeveiliging, vaak vormgegeven volgens de principes van een ISMS. Met een ISO 27001-certificering zal uw organisatie al voor 90% voldoen aan de Cyberbeveiligingswet. Met nog een aantal extra maatregelen zorgt u ervoor dat uw organisatie volledig NIS2 compliant is.
Een bijkomende maatregel vanuit de Cyberbeveiligingswet is dat het bestuur van organisaties bestuurlijk- en hoofdelijk aansprakelijk zijn voor het naleven van de wet. In een eerder artikel gaan wij dieper in op wat dit betekent. Daarbij komt dat zij jaarlijks een training moeten volgen in risicobeheersing. Dergelijke trainingen worden al aangeboden en het is raadzaam om niet te wachten tot de nieuwe wet u verplicht stelt om deze te volgen. Het volgen van een training biedt bestuursleden alvast inzicht in wat er van hen verwacht wordt zodra de Cyberbeveiligingswet ingaat.
Verplichtingen in het kort
Organisaties die vallen onder de Cyberbeveiligingswet krijgen onder andere te maken met zorgplicht, meldplicht en registratieplicht:
- Zorgplicht: Een organisatie moet aan kunnen tonen dat zij maatregelen heeft genomen om cyberaanvallen te voorkomen en de impact ervan te beperken. In de Cyberbeveiligingswet worden de volgende 10 zorgplichtmaatregelen opgenomen:
- Meldplicht: Een organisatie is verplicht om significante incidenten te melden bij de daarvoor bevoegde autoriteit. NCSC biedt de mogelijkheid om meldingen te maken en vervult de rol van een Computer Security Incident Response Team (CSIRT). De volgende stappen dienen gevolgd te worden bij het melden van een incident:
- Registratieplicht: Elke organisatie die onder de NIS2-richtlijn valt moet geregistreerd zijn bij de daarvoor bevoegde autoriteit, het NCSC. U hoeft niet te wachten tot de Cyberbeveiligingswet ingaat. U kunt uw bedrijf registreren door in te loggen op mijn.ncsc.nl.
Wat per organisatie wel verschilt is het toezicht wat door de bevoegde autoriteit zal worden uitgevoerd. Essentiële organisaties krijgen actief toezicht, waar belangrijke organisaties reactief toezicht krijgen.
Essentiele entiteiten
- Organisaties die actief zijn binnen een van de zeer kritieke sectoren met minimaal 250 werknemers of een jaaromzet van minimaal 50 miljoen met een balanstotaal van minimaal 43 miljoen.
- Middelgrote aanbieders van openbare elektronische communicatienetwerken en –diensten.
- Organisaties die als kritieke entiteit onder de Critical Enterprise Resilience richtlijn vallen.
- Overheidsinstanties die: volgens nationaal recht als zodanig worden erkend, zijn opgericht om te voorzien in het algemeen belang (zonder commercieel doel), grotendeels publiek worden gefinancierd of gecontroleerd, en bevoegd zijn om bindende besluiten te nemen die burgers of bedrijven raken.
- Gekwalificeerde aanbieders van vertrouwensdiensten en registers van topleveldomeinnamen en DNS dienstverleners, ongeacht hun omvang.
Belangrijke entiteiten
- Organisaties die actief zijn binnen een zeer kritieke sector en minimaal 50 werknemers tellen of een omzet hebben van tenminste 10 miljoen en een balanstotaal van minimaal 10 miljoen.
- Middelgrote en grote organisaties die actief zijn binnen een van de kritieke sectoren.
Cybercriminelen wachten niet
Dat de Cyberbeveiligingswet in Nederland nog niet van kracht is betekent niet dat u moet wachten met het nemen van maatregelen. Langer wachten maakt uw organisatie kwetsbaarder voor aanvallen van cybercriminelen. U kunt ervoor zorgen dat uw bedrijf NIS2 compliant is vóórdat de Cyberbeveiligingswet van kracht is. NIS2 is er om cyberveiligheid te waarborgen en door nu stappen te zetten geeft u cybercriminelen minder kans om aanvallen op uw bedrijf uit te oefenen.
Meer weten over wat de NIS2-richtlijn en daarmee de Cyberbeveiligingswet betekent voor uw bedrijf of alvast een NIS2 Board training inplannen? Neem contact op en wij helpen u verder.