NIS 2-richtlijn: alles wat je moet weten!

Alles wat je moet weten over de NIS 2-richtlijn: een gedetailleerd overzicht met de laatste updates

Inleiding

De Nederlandse wetgeving ter implementatie van de NIS 2-richtlijn (NIS 2) zal naar verwachting pas eind 2024 van kracht worden. Deze richtlijn wordt gezien als een cruciale stap in het verbeteren van cybersecurity-normen voor diverse sectoren en wordt vaak vergeleken met de AVG in de wereld van cybersecurity. In deze uitgebreide blog gaan we dieper in op de NIS 2-richtlijn, bespreken we de recente ontwikkelingen en bekijken we de te verwachten tijdslijnen.

NIS 2: Een Overzicht

Je kunt de NIS2 hier downloaden.

NIS staat voor Network and Information Systems. De NIS 2-richtlijn heeft als voornaamste doel de digitale weerbaarheid van Europese lidstaten te verbeteren, met als gevolg een hoger niveau van informatiebeveiliging en cybersecurity binnen zowel publieke als private organisaties. De voorloper van NIS 2, geïmplementeerd in Nederland in 2016 als de Wet beveiliging netwerk- en informatiesystemen (Wbni), stond bekend als de NIS- of NIB-richtlijn. NIS 2 richt zich op een betere samenwerking tussen nationale overheden van EU-lidstaten, onder meer door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden. Ook moet de Nederlandse overheid een nationale cyberbeveiligingsstrategie vaststellen.

Toepassingsgebied van NIS 2

Het toepassingsgebied van NIS 2 is uitgebreid en omvat nu een groter aantal organisaties.

Deze omvatten organisaties die actief zijn in sectoren genoemd in bijlage I en II van NIS 2.

De zeer kritieke sectoren zijn (bijlage 1):

  • Energie
    • Elektriciteit
    • Stadsverwarming- en koeling
    • Aardolie
    • Aardgas
    • Waterstof
  • Vervoer
    • Lucht
    • Spoor
    • Water
    • Weg
  • Bankwezen
  • Infrastructuur voor de financiele markt
  • Gezondheidszorg
  • Drinkwater
  • Afval
  • Digitale infrastructuur
  • Beheer van ICT-diensten (B2B)
  • Overheid
  • Ruimtevaart

Andere kritieke sectoren zijn (bijlage 2):

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Vervaardiging, productie en distributie van chemische stoffen
  • Productie, verwerking en distributie van levensmiddelen
  • Vervaardiging
  • Digitale aanbieders (zoals zoekmachines en sociale netwerkdiensten)
  • Onderzoeksorganisaties

Ze moeten daarnaast als essentiële entiteiten of belangrijke entiteiten kwalificeren op basis van – meestal – de organisatiegrootte (o.a. aantal medewerkers en omzet). Zie artikel 3 van de richtlijn.

Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is het niveau van toezicht dat op hen wordt toegepast, waarbij essentiële entiteiten onder een intensiever regime van toezicht vallen. Essentiële entiteiten vallen onder proactief toezicht, waarbij regelmatige controles en evaluaties worden uitgevoerd om ervoor te zorgen dat ze voldoen aan de vereisten van de NIS 2-richtlijn. Het toezicht op belangrijke entiteiten kan meer reactief van aard zijn en wordt vaak uitgeoefend op basis van meldingen van incidenten of vermoedelijke non-compliance met de NIS 2-richtlijn.

De overheid

De overheid valt nu ook onder de reikwijdte van NIS2 (link):

  • Onderdelen van de centrale overheid (Rijksoverheid en zelfstandige bestuursorganen) vallen onder de NIS2-richtlijn als essentiële entiteiten.
  • Het is aan de lidstaten zelf om lokale overheden (gemeenten, waterschappen en provincies) onder de NIS2-richtlijn te laten vallen. De bedoeling is om medeoverheden onder de richtlijn aan te wijzen. Dit gezien bestaande beleidsvoornemens tot wettelijke verankering van de BIO, en het inregelen van toezicht voor de gehele overheid.
  • De NIS2-richtlijn biedt een uitzondering voor overheidsinstanties die vooral activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving (inclusief het voorkomen, onderzoeken en opsporen van strafbare feiten). Dit betekent dat bijvoorbeeld de veiligheidsregio’s of de politie van de NIS2-richtlijn zijn uitgesloten. Overheidsinstanties met activiteiten die indirect te maken hebben met bijvoorbeeld nationale veiligheid vallen wel onder toepassing van de richtlijn.

Zelfraadplegingstool

Op 16 januari 2024 heeft de Nederlandse overheid een zelfraadplegingstool gelanceerd die organisaties helpt te bepalen of de NIS2 op hen van toepassing is. Deze tool is een handig hulpmiddel voor organisaties om hun status onder de richtlijn te bepalen. Je vindt de tool hier: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/)

Cybersecuritymaatregelen

NIS 2 legt de nadruk op het nemen van maatregelen voor het beheer van cyberbeveiligingsrisico’s, waarbij risico-gebaseerde benaderingen worden aangemoedigd. Deze maatregelen omvatten onder meer:

  • het opstellen van beleid voor risicoanalyse en beveiliging van informatiesystemen
  • incidentenbehandeling
  • bedrijfscontinuïteit
  • beveiliging van de toeleveranciersketen
  • cyberhygiëne en training op het gebied van cybersecurity
  • toegangsbeleid
  • het implementeren van multifactor-authenticatie wanneer gepast.

Zie artikel 21 van de NIS2-richtlijn:

Meldplicht

Naast het nemen van maatregelen richt NIS 2 zich ook op het uitwisselen en ontvangen van informatie met de juiste instanties. Dit omvat uitgebreide meldplichten waarbij organisaties binnen 24 uur incidenten moeten melden bij de juiste instanties. Dit meldingsproces omvat verschillende fasen, zoals een vroegtijdige waarschuwing binnen 24 uur na het incident, een daadwerkelijke incidentmelding binnen 72 uur, en een uitgebreid verslag binnen één maand met details over het incident en de genomen maatregelen.

Governance en sancties

NIS 2 heeft impact op organisatorische governance, met meer betrokkenheid van besturen bij cyberveiligheid en verantwoordelijkheid voor naleving. Het kan een aansprakelijkheidsregime voor besturen introduceren bij het nalaten van cyberbeveiligingsmaatregelen, met boetes tot € 10 miljoen of 2% van de jaaromzet voor essentiële entiteiten en tot € 7 miljoen of 1,4% van de jaaromzet voor belangrijke entiteiten. De precieze rol van “bestuursorganen” in dit kader is momenteel nog onduidelijk, en het is afwachten hoe dit zich verhoudt tot bestaande nationale wetgeving. De implementatiewet zal meer helderheid bieden.

Tijdslijn voor implementatie

De implementatietermijn van NIS 2 is begonnen in januari 2023, met een verwachte omzetting van de bepalingen in nationale wetgeving binnen 21 maanden. Voordat dit gebeurt, zal er een internetconsultatie plaatsvinden, naar verwachting begin 2024. Na parlementaire behandeling wordt de nieuwe wetgeving tegen het einde van 2024 van kracht. Voor die tijd blijft echter wel de datum van 17 oktober 2024 staan waarop de richtlijn van kracht wordt. Vanaf die datum kunnen organisaties op hun zorg- en meldplicht aangesproken kunnen worden. Ondanks dat de manier waarop dat precies moet gebeuren nog niet duidelijk is (omdat de richtlijn nog niet in een Nederlandse wet is omgezet).

Raakvlak ISO 27001 & NEN 7510

De NIS2-richtlijn vertoont overlap met de ISO 27001 standaard voor informatiebeveiliging en de Nederlandse NEN 7510-norm voor informatiebeveiliging in de zorgsector.

Hoewel de NIS 2-richtlijn en de ISO 27001/NEN 7510 verschillende doelen hebben streven al deze normen naar het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Onderwerpen die overlappen zijn het uitvoeren van risicoanalyses, het waarborgen van bedrijfscontinuïteit en het inregelen van toegangsbeleid. De verschillende accenten kunnen er echter voor zorgen dat organisaties die voldoen aan de ISO 27001 en/of NEN 7510-norm mogelijk aanvullende maatregelen moeten nemen om te voldoen aan de vereisten van de NIS 2-richtlijn, met name op het gebied van incidentmelding, dreigingsinformatie-uitwisseling en cybersecuritymaatregelen.

Het is belangrijk voor organisaties om de implementatie van de NIS 2-richtlijn te volgen en te evalueren hoe deze zich verhoudt tot bestaande nationale normen zoals de ISO 27001 en de NEN 7510.

Hoe pak je het aan?

Om te voldoen aan de NIS2-richtlijn, zou je de volgende concrete stappen kunnen ondernemen:

Stap 1: Identificeer uw rol en verplichtingen

  • Bepaal of jouw organisatie onder de categorie van essentiële diensten of digitale dienstverleners valt. Gebruik eventueel de tool van de overheid: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
  • Begrijp de specifieke verplichtingen die van toepassing zijn op jouw type organisatie onder de richtlijn. Zie met name artikel 20 en verder.

Stap 2: Voer risicoanalyses uit

  • Identificeer potentiële risico’s en bedreigingen voor je netwerk- en informatiesystemen.
  • Evalueer de mogelijke impact van deze risico’s op de continuïteit van jullie dienstverlening.

Stap 3: Implementeer passende beveiligingsmaatregelen

  • Ontwikkel en implementeer beveiligingsmaatregelen die geschikt zijn voor het beheersen van de geïdentificeerde risico’s.
  • Zorg ervoor dat deze maatregelen in lijn zijn met de beste praktijken en normen voor cybersecurity.

Stap 4: Meld incidenten en neem corrigerende maatregelen

  • Stel een procedure op voor het melden van cyberincidenten aan de relevante autoriteiten.
  • Neem indien nodig onmiddellijk corrigerende maatregelen om de impact van incidenten te minimaliseren.

Stap 5: Onderhoud en verbeter voortdurend uw cybersecuritybeleid

  • Evalueer regelmatig uw cybersecuritybeleid en pas het aan op basis van nieuwe bedreigingen en ontwikkelingen.
  • Investeer in het verbeteren van de cyberweerbaarheid van jullie organisatie door middel van training en bewustwordingsprogramma’s.

Conclusie

De NIS 2-richtlijn is een belangrijke stap vooruit in het verhogen van het niveau van informatiebeveiliging en cybersecurity binnen Europese lidstaten. Met een uitgebreid toepassingsgebied, specifieke maatregelen en strikte meldplichten belooft NIS 2 organisaties te helpen zich beter te beschermen tegen cyberdreigingen en een hoger niveau van digitale weerbaarheid te bereiken. Met de verwachte implementatie tegen eind 2024 is het nu aan organisaties om zich voor te bereiden op de naleving van deze belangrijke richtlijn.