Blog IT | Cubics

De gevolgen van de NIS2 wetgeving voor jouw organisatie.

Geschreven door Sample HubSpot User | Mar 2, 2023 11:54:14 AM

Sinds dit jaar is de tweede versie van de Europese Network and Information Systems [NIS2] opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen [WBNI]. Deze wetgeving is het vervolg op de NIS1 richtlijnen. Het doel? De cybersecurity van netwerk- en informatiesystemen van vitale aanbieders en digitale dienstverleners te verbeteren. Wat betekent dit voor jouw organisatie?

CYBERSECURITY-VOLWASSENHEID
De uitbreiding middels de NIS2 wetgeving houdt in dat er meer organisaties onder essentiële sectoren zullen vallen dan nu het geval is. Val je nu ook onder essentiële sectoren? Dan zal er heel wat werk aan de winkel zijn. Er wordt nu namelijk van je verwacht dat de cybersecurity-volwassenheid van jouw organisatie op het sufficiënte niveau zit. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit kan bijvoorbeeld gelijk worden getrokken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. 

ESSENTIËLE SECTOREN
Dat er meer noodzaak ligt op het verhogen van de cyberweerbaarheid van essentiële sectoren komt niet uit de lucht vallen. De afgelopen jaren worden steeds meer organisatie slachtoffer van cybercriminaliteit, met grote schade als gevolg. De NIS2 wetgeving is daarom in het leven geroepen om de continuïteit en integriteit van een aantal vitale sectoren te waarborgen.

Naast de originele sectoren zoals energie, drinkwater en banken, breidt de NIS2 het lijstje flink uit met onder andere overheidsdiensten, levensmiddelen en managed service providers. Hiermee komen er zo’n zesduizend organisaties bij die moeten gaan voldoen aan de nieuwe wetgeving. Momenteel staat nog niet vast welke bedrijven er precies onder de wetgeving gaan vallen. Zo is er nog geen vaste definitie van welke managed service providers aangehouden zal worden. Naar verwachting zal de NIS eind dit jaar de definities vaststellen.

De sectoren waar het in ieder geval om gaat zijn: energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie, en digitale aanbieders.

Maar ook wanneer je als organisatie niet binnen de scope van de NIS2 wetgeving valt, is het verstandig om op te letten. Het feit dat je niet aangemerkt wordt als vitale sector betekent niet dat je minder risico loopt.

WAT VERANDERT ER ALLEMAAL?
De wetgeving is op te splitsen in twee onderdelen: De zorgplicht en meldplicht. De zorgplicht houdt in dat je als organisatie ervoor moet zorgen dat jouw gehele infrastructuur op orde is. Afhankelijk van de huidige infrastructuur moet er wellicht veel gebeuren om te voldoen aan de norm die uiteindelijk in de wet wordt opgenomen. Zo kan er van je geëist worden dat jouw bedrijf voldoet aan de ISO 27001 norm en wordt er verwacht dat je de faciliteiten in huis hebt om jouw netwerk te monitoren.

Dit gebeurt doorgaans in een Security Operation Center (SOC) maar om dit in te richten is veel apparatuur en, nog lastiger, personeel nodig. Voor veel organisaties zal het dan ook interessant zijn om dit uit te besteden aan een partij die een SOC als dienst aanbiedt. Op deze manier kan een organisatie voldoen aan de nieuwe zorgplicht, zonder een heel SOC op te hoeven zetten.

De meldplicht betekent dat je melding moet maken wanneer je te maken hebt met een cyberincident wat de cyberweerbaarheid zal verhogen. Het is nu namelijk enkel verplicht om melding te doen van een datalek, maar niet van bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbaarheid. Doordat informatie over een cyberaanval gemeld en gedeeld wordt, kunnen bedrijven makkelijker leren van elkaar hoe ze hun beveiliging optimaal in kunnen richten.

Andere relevante wijzigingen die de NIS2 wetgeving met zich meebrengt:
  1. Passende technische en organisatorische maatregelen treffen: Bedrijven moeten passende technische en organisatorische maatregelen treffen om hun ICT-systemen te beveiligen tegen cyberaanvallen en andere beveiligingsrisico's. Dit houdt onder meer in dat zij een risicoanalyse moeten uitvoeren en op basis daarvan maatregelen moeten nemen om de beveiliging van hun ICT-systemen te verbeteren.
  2. Samenwerken met de overheid: Bedrijven moeten samenwerken met de overheid bij het voorkomen en afhandelen van cybersecurity-incidenten. Dit kan bijvoorbeeld inhouden dat zij informatie delen over een incident en meewerken aan het onderzoek naar de oorzaak en de omvang van het incident.
  3. Bewaren van gegevens: Bedrijven moeten bepaalde gegevens bewaren die van belang zijn voor het onderzoek naar een cybersecurity-incident. Het gaat hierbij om gegevens zoals logbestanden en andere informatie over de activiteiten op hun ICT-systemen. Deze gegevens kunnen helpen bij het identificeren van de oorzaak van een incident en het voorkomen van toekomstige incidenten.

Om de wetgeving meer gewicht te geven zullen de nationale autoriteiten ook strenger kunnen handhaven op het naleven van deze regels. Dit neemt de vorm aan van een proactief beleid waarbij controles steekproefsgewijs worden uitgevoerd. Wanneer bedrijven hun beveiligingseisen niet op orde hebben, kan de Autoriteit Consument en Markt [ACM] of de Autoriteit Persoonsgegevens [AP] bestuurlijke boetes opleggen. De hoogte van de boete kan oplopen tot maximaal 10% van de jaaromzet van de betreffende organisatie. De EU hoopt dat er door de nieuwe regels meer informatie-uitwisseling en samenwerking rondom cybercrisisbeheer op de verschillende overheidsniveaus plaats zal vinden.

GA VÓÓR 2024 AAN DE SLAG
Na het vaststellen van de wetgeving heb je 21 maanden de tijd om de maatregelen door te voeren. Dat klinkt misschien lang, maar in werkelijkheid neemt zo’n traject ontzettend veel tijd in beslag. 

Een eerste stap die je als bedrijf nu al kan zetten is het in kaart brengen van je cyberbeveiliging-volwassenheidsniveau en de mate van risicobeheersing. Heb je al een informatiebeveiligingsbeleid? Weten medewerkers wat hun rol is? Weten ze hoe ze phishing e-mails kunnen herkennen? Door er nu serieus mee aan de slag te gaan, voorkom je verrassingen wanneer de wet in werking treedt.

ZO BEREID JIJ JE VOOR:
  • Wacht niet tot 2024 met het nemen van maatregelen; de implementatie hiervan kost tijd en daarbij is de cybersecurity-dreiging op dit moment al extreem hoog!
  • Scan je netwerk regelmatig op kwetsbaarheden en verhelp zwakke plekken direct.
  • Beveilig je gehele supply chain en infrastructuur en richt screeningsprocessen in.
  • Wat doe je als het toch misgaat? Zorg dat je hier een antwoord op hebt voor ieder mogelijk incident én dat je reactietijd zo laag mogelijk is.
  • TEST! Richt protocollen in om de effectiviteit van je cybersecurity-maatregelen continu te testen. Alleen als je zeker weet dat het werkt, heeft dit effect.

Bronnen:
Eric van Loon;
Europdecentraal.nl;
NCSC.nl