NIS2-richtlijn: wat betekent het voor uw organisatie?
Ontwikkelingen bedreigen steeds vaker de veiligheid van onze maatschappij en economie. Om hiermee om te gaan, heeft de Europese Unie sinds 2020 gewerkt aan de Network and Information Security (NIS2)-richtlijn. Met deze richtlijn streven ze naar het verbeteren van de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is de opvolger van de NIS-richtlijn. Het vergroot de reikwijdte, stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. Momenteel wordt de NIS2 in Nederlandse wetgeving vertaald.
De richtlijn is een reactie op toenemende bedreigingen zoals COVID-19, de Oekraïne-oorlog, cyberdreigingen en klimaatverandering. Het doel is om de digitale en economische weerbaarheid van Europese lidstaten te versterken. En meer harmonisatie en hogere cybersecurity-niveaus bij bedrijven en organisaties te bevorderen.
De planning voor de nationale implementatie van de NIS2-richtlijn is aangepast. In mei 2023 is besloten om de internetconsultatieperiode te verplaatsen naar het najaar van 2023. Oorspronkelijk werd de zomer van 2023 als tijdsbestek gehanteerd.
Wat betekent de NIS2-richtlijn voor uw organisatie?
De richtlijn richt zich op sectoren die al onder de NIS-richtlijn vielen en voegt daar een aantal nieuwe sectoren aan toe. Een belangrijke uitbreiding is dat de overheidssector nu ook onder de richtlijn valt. Specifieke overheidsinstanties, waaronder onderdelen van de centrale overheid, vallen onder de NIS2-richtlijn als essentiële entiteiten. Voor lokale overheden, zoals gemeenten, waterschappen en provincies, is het aan de lidstaten zelf om te bepalen of ze onder de NIS2-richtlijn vallen. De richtlijn voorziet ook in uitzonderingen voor overheidsinstanties die zich voornamelijk bezighouden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
De NIS2-richtlijn legt verschillende verplichtingen op aan organisaties. Allereerst is er de zorgplicht, waarbij entiteiten zelf een risicobeoordeling moeten uitvoeren en passende maatregelen moeten nemen om hun diensten en informatie te beschermen.
Daarnaast is er de meldplicht. Hierbij moeten incidenten die de essentiële dienstverlening aanzienlijk verstoren binnen 24 uur bij de toezichthouder en het Computer Security Incident Response Team (CSIRT) worden gemeld. Verschillende factoren bepalen of een incident meldingswaardig is, zoals het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.
Ook komen organisaties onder toezicht te staan, waarbij een onafhankelijke toezichthouder de naleving van de verplichtingen controleert. Het toezicht voor de sector Overheid wordt nog bepaald, waarbij bestaande verantwoordingsstructuren worden geharmoniseerd op basis van eerdere onderzoeken in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK).
Wat kunnen organisaties alvast doen?
Het naleven van bestaande informatiebeveiligingsnormen is essentieel voor het vervullen van de zorgplicht die voortvloeit uit NIS2, zoals de Baseline Informatiebeveiliging Overheid (BIO). Het is een belangrijk uitgangspunt voor overheidsinstanties om aan hun verplichtingen te voldoen. Organisaties die voorheen niet aan deze normen voldeden, hebben nu wel de verplichting om dit te doen onder NIS2. Mogelijk worden er extra verplichtingen aan de BIO toegevoegd, maar dit moet nog worden bepaald.
Cyberweerbaarheid met VCS
VCS Observation helpt u met het vergroten van de cyberweerbaarheid door betrouwbare systemen te leveren. Wij zorgen dat de cybersecurity van uw systemen optimaal is, zodat de uitval of het hacken van systemen voorkomen wordt. Ook zetten wij vulnerability scans en ethisch hackers in om de cybersecurity van uw organisatie te verbeteren. Zo lossen wij uw meest urgente beveiligingsuitdagingen op.