De NIS2 wetgeving is sinds 18 oktober 2024 in werking getreden en de invoering brengt grote veranderingen met zich mee voor overnemingen die actief zijn in kritieke sectoren binnen de Europese Unie. Deze nieuwe cybersecurity wetgeving heeft als doel om de digitale weerbaarheid van deze organisaties te versterken. Als bedrijf is het belangrijk dat u weet wat NIS2 precies inhoudt en welke stappen u moet nemen om te voldoen aan de nieuwe eisen.
In dit artikel leest u wat de NIS2-richtlijn precies is en voor welke bedrijven deze geldt. We bespreken de belangrijkste verplichtingen waar u aan moet voldoen en geven u een praktisch stappenplan om uw organisatie NIS2-compliant te maken. Zo krijgt u inzicht in zaken als risicoanalyse, beveiligingsmaatregelen en bedrijfscontinuïteit in het kader van cybersecurity.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een vernieuwde versie van de oorspronkelijke NIS-richtlijn uit 2016. Deze nieuwe richtlijn, die sinds 17 oktober 2024 in werking is getreden, heeft als doel om de cyberbeveiliging in de Europese Unie te versterken. NIS2 breidt het toepassingsgebied uit en stelt hogere eisen aan de beveiliging van netwerken en informatiesystemen van essentiële en belangrijke sectoren.
Belangrijkste wijzigingen ten opzichte van NIS1
NIS2 brengt enkele significante veranderingen met zich mee:
Uitgebreid toepassingsgebied: Meer sectoren en entiteiten vallen onder de reikwijdte van de richtlijn. Nieuwe sectoren zoals post- en koeriersdiensten, afvalverwerking, voedselproductie en de chemische industrie vallen nu ook onder de richtlijn.
Verhoogde eisen voor risicobeheer: Er gelden strengere beveiligingsmaatregelen en strenge rapportageverplichtingen volgend op incidenten.
Versterkte handhavingsmechanismen: De richtlijn introduceert hogere boetes en strengere nalevingsmaatregelen en een controle-authoriteit.
Verbeterde samenwerking: Er is meer focus op samenwerking tussen lidstaten en nationale autoriteiten.
Deze wijzigingen hebben als doel om de cybersecurity in de EU te verbeteren en organisaties beter voor te bereiden op de toenemende cyberdreigingen.
Voor welke bedrijven geldt NIS2?
De NIS2-richtlijn heeft een breed toepassingsgebied en richt zich op organisaties in kritieke sectoren. De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten, afhankelijk van hun omvang en de sector waarin ze actief zijn.
Essentiële entiteiten
Essentiële entiteiten zijn grote organisaties die actief zijn in zeer kritieke sectoren zoals energie, transport, bankwezen, gezondheidszorg en drinkwater. Een organisatie wordt als groot beschouwd als ze minimaal 250 werknemers heeft of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Ook vallen hieronder organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit.
Belangrijke entiteiten
Belangrijke entiteiten zijn middelgrote organisaties in zeer kritieke sectoren en grote of middelgrote organisaties in andere kritieke sectoren zoals post- en koeriersdiensten, afvalstoffenbeheer en levensmiddelen. Een organisatie is middelgroot als ze minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Uitzonderingen
Er zijn enkele uitzonderingen op de omvangscriteria. Bepaalde entiteiten vallen onder NIS2 ongeacht hun omvang, zoals aanbieders van openbare elektronische communicatienetwerken, vertrouwensdienstverleners en DNS service providers. Een gedetailleerd overzicht kan je via de website van het CBB terugvinden.
Belangrijkste verplichtingen onder NIS2
De NIS2-richtlijn legt essentiële en belangrijke entiteiten een aantal cruciale verplichtingen op om de cybersecurity te versterken. Deze maatregelen zijn gericht op het beheren van risico's, het melden van incidenten en het waarborgen van de veiligheid in de toeleveringsketen.
Cyberbeveiligingsmaatregelen
Bedrijven moeten passende technische, operationele en organisatorische maatregelen nemen om cyberbeveiligingsrisico's te beheren. Dit omvat het uitvoeren van een grondige risicoanalyse en het implementeren van beveiligingsmaatregelen om incidenten te voorkomen of de gevolgen ervan te beperken.
Belangrijke aspecten zijn onder meer:
• Het opstellen van een beleid voor risicoanalyse en beveiliging van informatiesystemen • Het ontwikkelen van procedures voor incidentenbehandeling
• Het waarborgen van bedrijfscontinuïteit en crisisbeheer
• Het implementeren van beveiligingsmaatregelen in de toeleveringsketen
• Het bieden van cybersecurity-opleidingen aan personeel.
Het behalen van een ISO27001 certificering wordt aanzien als een passend veiligheidsniveau maar is niet verplicht.
Incidentmeldingsplicht
Essentiële en belangrijke entiteiten zijn verplicht om significante incidenten te melden aan de bevoegde autoriteiten. Een incident wordt als significant beschouwd als het ernstige gevolgen heeft voor de dienstverlening, zoals een aanzienlijke verstoring van de bedrijfsvoering of financiële verliezen. De melding moet binnen 24 uur na kennisname plaatsvinden, gevolgd door een uitgebreider rapport binnen 72 uur.
Risicobeheer in de toeleveringsketen
NIS2 vereist dat organisaties de beveiliging van hun toeleveringsketen waarborgen. Dit betekent dat ze de cybersecurityrisico's van hun leveranciers en dienstverleners moeten beoordelen en beheersen. Belangrijke aspecten hierbij zijn:
• Het uitvoeren van risicoclassificaties van IT-diensten en -producten
• Het maken van duidelijke afspraken met toeleveranciers over beveiligingsmaatregelen • Het regelmatig toetsen en herzien van het beleidsplan voor de toeleveringsketen
Stappenplan voor NIS2-compliance
Om te voldoen aan de NIS2-richtlijn is een gestructureerde aanpak nodig. Aangeraden wordt om een ISMS te implementeren overeenkomstig ISO27001-norm maar dit is niet verplicht. Hier volgt een praktisch stappenplan om uw organisatie NIS2-compliant te maken.
Meldplicht
Ondernemingen die onder de NIS2 verplichtingen vallen moeten zich aanmelden. Voor België kan dit gebeuren via de website van Safeonweb. Dit moet gebeuren uiterlijk tegen 18 maart 2025.
Gap-analyse uitvoeren
De eerste stap is het uitvoeren van een grondige gap-analyse. Hierbij vergelijkt u uw huidige cyberbeveiligingsmaatregelen met de vereisten van NIS2. Dit geeft u inzicht in de gebieden waar uw organisatie nog tekortschiet. Analyseer uw bestaande controls en stel vast welke hiaten er zijn ten opzichte van NIS2. Betrek hierbij zowel technische als organisatorische aspecten van uw cybersecurity.
Actieplan opstellen
Op basis van de resultaten van de gap-analyse kunt u een actieplan opstellen. Dit plan moet concrete maatregelen bevatten om de geïdentificeerde hiaten te dichten. Stel een roadmap op met duidelijke mijlpalen en deadlines. Houd hierbij rekening met de specifieke NIS2-eisen, zoals het implementeren van multifactorauthenticatie, het opstellen van incidentresponsprocedures en het waarborgen van de beveiliging in de toeleveringsketen.
Implementatie en monitoring
Na het opstellen van het actieplan volgt de implementatiefase. Voer de geplande maatregelen stapsgewijs door in uw organisatie. Dit kan het updaten van beveiligingsbeleid, het invoeren van nieuwe technologieën of het trainen van personeel omvatten. Zorg voor een systematische aanpak en documenteer alle genomen stappen zorgvuldig.
Monitoring is cruciaal om de effectiviteit van de geïmplementeerde maatregelen te waarborgen. Voer regelmatig interne audits uit om te controleren of uw organisatie voldoet aan de NIS2-vereisten. Wees voorbereid op externe audits door toezichthouders, die vanaf oktober 2024 kunnen plaatsvinden.
Blijf uw cybersecurity-maatregelen continu verbeteren en aanpassen aan nieuwe dreigingen en risico's. NIS2 vereist een cyclisch risicomanagementproces, dus zorg ervoor dat u uw risicoanalyse regelmatig bijwerkt en uw beveiligingsmaatregelen daarop afstemt.
Conclusie
De invoering van NIS2 betekent een grote stap voorwaarts voor cybersecurity in de EU. Deze richtlijn heeft een grote invloed op essentiële en belangrijke entiteiten, die nu moeten voldoen aan strengere eisen voor risicobeheersing, incidentmelding en beveiliging van de toeleveringsketen. Door het volgen van een gestructureerde aanpak, zoals het uitvoeren van een gap-analyse en het opstellen van een actieplan, kunnen organisaties zich voorbereiden om aan deze nieuwe verplichtingen te voldoen.
Het is duidelijk dat NIS2 een aanzienlijke uitdaging vormt voor veel bedrijven, maar het biedt ook kansen om de digitale weerbaarheid te versterken. Door proactief te handelen en de nodige maatregelen te nemen, kunnen organisaties niet alleen voldoen aan de wettelijke vereisten, maar ook hun algehele cybersecurity verbeteren.
Als u ondersteuning nodig heeft bij het NIS2-compliant maken van uw organisatie, aarzel dan niet om vrijblijvend contact met ons op te nemen voor deskundig advies en begeleiding.
Comments