De NIS2, de nieuwste versie van de ‘Network and Information Security’-richtlijn, is een Europese richtlijn op het gebied van cybersecurity. Vanaf – zoals het er nu naar uitziet – oktober 2024 moeten alle EU-lidstaten deze richtlijn hebben geïmplementeerd. De kern? Strengere eisen, meer sectoren die onder de richtlijn vallen en zwaardere sancties voor wie zich niet aan de regels houdt.
Wie vallen er onder NIS2?
Terwijl NIS1 zich richtte op de grote spelers die essentiële diensten leverden zoals stroom en water, gaat NIS2 een stap verder. Wat betekent dat? Een breder scala aan sectoren, waaronder ICT-dienstverleners en zorginstanties, moet nu ook aan de bak. De richtlijn maakt ook nog onderscheid tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’.
- Heb je een jaaromzet van meer dan €10 miljoen of meer dan 50 medewerkers in dienst en benje in één van onderstaande sectoren actief? Dan word je gezien als belangrijke entiteit.
- Ben jij actief in één van de sectoren uit bijlage 1? Dan word je als essentiële entiteit gezien wanneer je 250 medewerkers in dienst hebt of meer dan €50 miljoen omzet draait.
Sectoren bijlage 1: Energie; Transport; Bankwezen; Infrastructuur financiële markt; Gezondheidszorg; Drinkwater; Digitale infrastructuur; Beheerders van ICT-diensten; Afvalwater; Overheidsdiensten; Ruimtevaart.
Sectoren bijlage 2: Digitale aanbieders; Post- en koeriersdiensten; Afvalstoffenbeheer; Levensmiddelen; Chemische stoffen; Onderzoek; Vervaardiging / manufacturing.
Als jouw organisatie binnen de reikwijdte van NIS2 valt, dan moet je dus aan de bak.
Wat moet ik doen om NIS2 compliant te zijn?
Aangezien de NIS2 nog in concept is, weten we nog niet alle details. Dit is wat we al wél weten:
Zorgplicht
Organisaties worden verplicht om technische, organisatorische en fysieke maatregelen te nemen om hun cyberweerbaarheid te waarborgen.
Risicomanagement
Organisaties moeten regelmatig hun risico’s evalueren en mitigeren.
Monitoren van Systemen
Continu toezicht op IT-systemen is vereist om mogelijke cyberdreigingen te identificeren en aan te pakken.
Back-ups
Organisaties moeten regelmatig back-ups maken van hun kritieke gegevens en systemen.
Inventariseer Kwetsbaarheden
Regelmatige scans en assessments om kwetsbaarheden in systemen en netwerken te identificeren.
Cybersecurity Awareness
Organisaties moeten hun medewerkers trainen en bewust maken van cybersecurity best practices.
Verantwoordelijkheid in de toeleveringsketen
Organisaties moeten ervoor zorgen dat hun leveranciers en partners ook voldoen aan de NIS2-vereisten.
Rapportage
Incidenten met aanzienlijke impact moeten worden gerapporteerd. Datalekken moeten binnen 72 uur worden gemeld, terwijl andere cyberincidenten binnen 24 uur bij de toezichthouder moeten worden gemeld. Bovendien moeten cyberincidenten ook worden gemeld bij het CSIRT (Computer Cyber Incident Response Team).
Voldoe je hier niet aan? Dan kunnen de financiële sancties hoog oplopen.
De financiële klap
Niet voldoen aan NIS2 kan je duur komen te staan. We hebben het over boetes die kunnen oplopen tot tien miljoen euro of zelfs twee procent van de totale wereldwijde omzet voor essentiële entiteiten. Voor de ‘belangrijke entiteiten’ is dit zeven miljoen euro of 1,4 procent van de omzet. En alsof dat nog niet genoeg is, kunnen directieleden persoonlijk en strafrechtelijk aansprakelijk worden gesteld.
Hoe bereid je je voor?
- Check of je onder NIS2 valt.
- Identificeer waar je nog tekortschiet.
- Zorg dat het management op de hoogte is en actie onderneemt.
- Bouw aan een sterk cybersecurity-kader.
- Implementeer de nodige maatregelen.
- Monitor continu of alles nog op orde is.
Ben je al ISO 27001 gecertificeerd?
Met een solide ISMS én een goed getrainde Security Officer, zoals voorgeschreven door ISO 27001, ben je gelukkig al een heel eind! ISO 27001 en NIS2 hebben namelijk flink wat overlap, om maar een paar voorbeelden te noemen:
Risicobeheer
Net als in NIS2, draait het bij ISO 27001 om het herkennen, inschatten en aanpakken van risico’s. Als je dit al doet, ben je al halverwege.
Bewustwording
Zowel ISO 27001 als NIS2 zijn het erover eens: je team trainen is essentieel. Als je medewerkers al scherp zijn op cybersecurity, heb je een streepje voor.
Incidentmanagement
Een incident? Dat wil je snel weten én oplossen. Zowel NIS2 als ISO 27001 zien dit als een must.
Kortom
NIS2 is geen kinderspel. Het vraagt om serieuze voorbereiding en actie. Maar door nu al te zorgen dat je een ISMS goed in elkaar zit en een getrainde Security Officer hebt die ervoor zorgt dat dat ook zo blijft, hoef je je al een stuk minder druk te maken.
Heb jij nog geen Security Officer, of kan jouw kennis wel een opfrisser gebruiker? Kijk dan eens naar onze training!
