Digitale veiligheid wordt steeds belangrijker – zeker als het gaat om sectoren zoals energie, transport, bankwezen, drinkwater en rijksoverheid. Daarom legt Europa dienstverleners in ‘essentiële en belangrijke’ sectoren vanaf 2024 extra verplichtingen op om de beveiliging van hun netwerken en informatiesystemen te waarborgen. Wat is de aanleiding van deze nieuwe NIS2-richtlijn? En wat zijn de gevolgen voor Nederlandse organisaties?

 

Digitaal maakt kwetsbaar

De wereld wordt steeds digitaler. Veel organisaties functioneren bij de gratie van goed werkende ICT. Dat is mooi, want daardoor kunnen veel processen sneller en efficiënter verlopen. Tegelijkertijd maakt het ook kwetsbaar, want wat als de systemen van ziekenhuizen of van een energiebedrijf plat komen te liggen? Dat kan een enorm ontwrichtend effect hebben op de samenleving. Of denk aan de persoonsgegevens die veel organisaties opgeslagen hebben. Vaak is dat nodig, maar niemand wil dat zijn of haar gegevens in verkeerde handen komen. Kortom, digitale veiligheid is van groot belang voor het functioneren van essentiële en belangrijke sectoren.

 

Meer digitale beveiliging met NIS2

Om de digitale veiligheid te vergroten, heeft de Europese Unie in 2018 de NIS (Network and Information Systems Directive) in het leven geroepen. Deze richtlijn verplicht essentiële dienstverleners en digitale dienstverleners om de beveiliging van hun netwerken en informatiesystemen te waarborgen. Met de almaar toenemende cybercriminaliteit en groeiende kwetsbaarheid van sectoren, is het nu tijd voor een update van de NIS met NIS2: met meer organisaties die onder de richtlijn vallen (zoals overheid en post- en koeriersdiensten) en meer verantwoordelijkheid voor hun bestuurders.

 

Nieuw: zorgplicht en meldplicht

Behalve dat er nieuwe sectoren aan de richtlijn zijn toegevoegd en er meer dienstverleners onder de richtlijn vallen (het complete overzicht vind je onderaan het artikel), stelt NIS2 strengere beveiligingseisen om zo de cyberbeveiligingsrisico’s te beperken. Zo hebben de organisaties een zorgplicht: zij moeten hun risico’s grondig beoordelen en vervolgens passende beveiligingsmaatregelen nemen om risico’s te mitigeren. Dat betekent voor veel organisaties dat zij meer aandacht zullen moeten krijgen voor actief risicomanagement. Hiermee zal risicomanagement essentieel worden in het strategische en tactische beleid van organisaties. Dat is een ingrijpende, maar ook kansrijke stap want goed risicomanagement is de drijvende kracht achter het succes van elke organisatie. Beter bestand zijn tegen cyberdreigingen is niet alleen in het belang van burgers en van de samenleving, maar zeker ook in het belang van de organisatie zelf. Daarnaast krijgen de organisaties vanuit de nieuwe richtlijn een meldplicht, waarbij zij incidenten die de verlening van een essentiële dienst sterk (kunnen) verstoren, binnen 24 uur moeten melden bij de toezichthouder. Momenteel wordt bepaald wie in Nederland de toezichthouder wordt.

 

Nieuw: hoofdelijke aansprakelijkheid van bestuurders

Een ander belangrijk verschil met de eerdere NIS-richtlijn is er één met behoorlijke impact: bestuurders van organisaties die onder de NIS2 vallen, worden namelijk hoofdelijk aansprakelijk voor non-compliance. Dat houdt in dat het management direct verantwoordelijk is voor het identificeren van risico’s rond de beveiliging van netwerken en informatiesystemen én voor het treffen van passende maatregelen. Om de weerbaarheid op informatieveiligheid gebied te vergroten wordt governance toegevoegd aan de NIS-richtlijn. Organisaties worden verplicht om rollen, verantwoordelijkheden en prioriteiten vast te leggen en de volwassenheid in risicomanagement te verhogen. Het gaat niet meer alleen om het aantonen van compliance op bijvoorbeeld de ISO27001, BIO (Baseline Informatiebeveiliging Overheid) of NEN-7510, maar om een organisatie brede risicoaanpak. Deze aansprakelijkheid zal ervoor zorgen dat de betrokkenheid van bestuurders bij risicomanagement toeneemt, waardoor risicomanagement een kernfunctie krijgt in de strategische besturing van organisaties.

 

Voorbereiden op NIS2

Organisaties die hun compliance al goed hebben ingericht, hebben al een goede basis voor NIS2. Maar dat de nieuwe richtlijn zorgt voor extra verantwoordingsverplichtingen – en dus voor meer druk op de beheerorganisatie en voor extra werk, is wel duidelijk. Vooralsnog is alleen de Europese NIS2 richtlijn gepubliceerd. Die geeft al aardig inzicht in wat er komen gaat. In afwachting van de vertaling van de NIS2-richtlijn naar Nederlandse wetgeving, kunnen organisaties wel alvast nadenken over hun governancestructuur, de processen rond risicomanagement en over het nemen van basis beveiligingsmaatregelen aan de hand van de NCSC handreiking basismaatregelen cybersecurity. Hoe eerder de beveiliging van de netwerken en informatiesystemen binnen de organisatie op orde is, hoe beter het is voor zowel de organisatie als voor de Nederlandse burgers.

 

Grip op de volledige Governance Risk and Compliance functie

Wie voldoet aan de kaders van ISO27001 of de BIO, heeft een goed vertrekpunt om straks ook aan de zorgplicht uit de NIS2 te voldoen. Ook onze klanten die gebruik maken van Key Control Dashboard hebben een voorsprong. Zij hebben al grip en sturing op de interne beheersing en de volledige Governance Risk and Compliance functie. Met Key Control Dashboard is de stap naar verantwoording afleggen over NIS2 een stuk gemakkelijker. Controles uitvoeren, rapportages maken en incidenten melden kan allemaal al met de ISMS-oplossing. Voorlopig is het wachten op de Nederlandse NIS2-wet, die naar verwachting eind 2024 in werking zal treden. Zodra er normen te distilleren zijn uit de Nederlandse wetgeving rond NIS2, nemen we die op in Key Control Dashboard. Komen de normen (deels) overeen met die uit de BIO of ISO27001, dan biedt dat mogelijkheden voor een extra efficiencyslag, omdat je dan als organisatie de controlewerkzaamheden, waar mogelijk, eenmalig uitvoert en gebruikt om verantwoording af te leggen over verschillende toepassingen. Key Control Dashboard maakt het eenvoudiger om van beleid naar uitvoer te komen, ook voor NIS2. En dat is voor gebruikers van Key Control Dashboard een prettig idee.

 

Welke organisaties vallen onder NIS2-richtlijn?

NIS2 richt zich op twee categorieën: essentiële en belangrijke dienstverleners.

  • Essentiële dienstverleners: Dit zijn organisaties die diensten aanbieden op de gebieden energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-Diensten (B2B), Overheid, Ruimtevaart en Infrastructuur voor de financiële markten, waarbij een onderbreking van de dienst ernstige gevolgen kan hebben voor de samenleving.
  • Belangrijke dienstverleners: Dit zijn post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, digitale aanbieders, onderzoek, vervaardiging, productie en distributie van chemische stoffen en productie en verwerking en distributie van levensmiddelen.

Bij de essentiële dienstverleners gaat het om grote organisaties met minimaal 250 medewerkers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer 43 miljoen euro. Onder belangrijke dienstverleners vallen middelgrote en grote organisaties. Middelgrote organisaties hebben minimaal 50 medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. Essentiële dienstverleners vallen onder een strenger toezicht dan de belangrijke dienstverleners.