Wellicht, en hopelijk, ken je hem al, de momenteel in Europa geldende Network en Information Security richtlijn (NIS). Het kan zijn dat je er al wel eens van gehoord hebt, maar er nog niet mee te maken hebt gehad. Deze richtlijn geldt namelijk voor essentiële bedrijven, zoals water- en telecombedrijven.
Tegenwoordig wordt NIS echter niet meer als toereikend geacht, dus komt de EU met een nieuwe versie: NIS2. Er gaan zeker tien keer zo veel bedrijven onder NIS2 vallen dan onder de huidige richtlijn. Hierdoor bestaat er een grote kans dat ook jouw organisatie aan deze wetgeving moet gaan voldoen. Dat komt omdat er meer organisaties worden aangemerkt als essentieel of belangrijk, maar ook omdat er gekeken moet worden naar de volledige supply chain.
- De tien sectoren die als essentieel zijn aangemerkt zijn energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater, afvalwater, ruimtevaart, overheidsdiensten/ openbaar bestuur en digitale infrastructuur.
- De sectoren post- en koerierdiensten, afvalbeheer, productie en distributie chemische stoffen, voedingsproductie, -verwerking en -distributie, verwerkende industrie en digitale aanbieders worden als belangrijk beschouwd en vallen dus OOK onder NIS2.
In mei 2022 is er een politiek akkoord bereikt tussen het Europees Parlement en de Raad van de Europese Unie over de nieuwe richtlijn. In november 2022 vond de formele goedkeuring door het Europees Parlement en de Raad plaats. Vanaf dat moment krijgen lidstaten achttien maanden om deze regels te implementeren in nationale wetgevingen. Dit betekent onder andere dat zij moeten voldoen aan hogere eisen, er strengere toezichtsmaatregelen komen en dat sanctiemaatregelen, net als rapportageverplichtingen, tussen lidstaten worden geharmoniseerd. NIS2 is tenslotte samengesteld om data zo goed mogelijk te beschermen in een maatschappij die een digitale transformatie ondergaat en waarbij het dreigingslandschap uitbreidt.
Governance & risicobeheersing
De noodzaak om cybersecurity beter te regelen, is groter dan ooit. Voor de business continuity is het daarom essentieel om zo snel mogelijk aan de NIS2 richtlijn te voldoen. De belangrijkste stappen om te nemen om NIS2 zo snel mogelijk te implementeren binnen jouw organisatie:
Breng de risico’s in kaart en maak deze beheersbaar
Dit begint bij inventariseren wat prioriteit heeft en wat niet. Zorgen dat de risico’s zo snel mogelijk in kaart worden gebracht en beheersbaar worden gemaakt, biedt een goede basis tegen cybercriminaliteit. Denk bijvoorbeeld aan het bewustzijn van medewerkers toen iedereen plotseling ging thuiswerken tijdens de pandemie.
Zorg dat jouw organisatie op de hoogte is van de juridische verplichtingen
Een gevolg van NIS2 is dat er strenger gecontroleerd wordt op governance. En het niet goed implementeren van deze regeling gaat grotere gevolgen hebben. Er zullen meer controlemomenten of audits door toezichthouders plaatsvinden. Wanneer hieruit blijkt dat organisaties niet voldoen aan de verplichtingen, worden er flinke boetes opgelegd. Er wordt daarnaast ook meer van organisaties zelf verwacht. Zo hebben veel organisaties een meldplicht wanneer er een incident wordt gedetecteerd, vergelijkbaar met de AVG. Deze melding moet binnen 24 uur geplaatst worden, gevolgd door een eindverslag uiterlijk een maand later. En zelfs dreigingen moeten worden gemeld.
Daarnaast dwingt NIS2 je ook om met leveranciers om tafel te gaan. Want wat als er een cyberincident is bij één van jouw leveranciers? Cybercriminelen kunnen via het netwerk van een van jouw (externe) partners ook jouw organisatie binnendringen. Hoe leveranciers en partners hun beveiliging hebben ingeregeld, heeft daarom directe invloed op de eigen beveiliging. Ook hier moeten dus risico’s in kaart worden gebracht en afspraken worden gemaakt. Wie is er aansprakelijk voor de (verloren) kosten in het geval van een cyberincident? Dit moet vastgelegd worden in contracten.
Omdat cybersecurity een specifieke discipline is, is het raadzaam om bij het maken van contractuele afspraken gebruik te maken van de kennis van een hierin gespecialiseerde juridische dienstverlener.
Praktische implementatie
Wanneer de risico’s in kaart zijn gebracht, beheersbaar zijn gemaakt en de juridische verplichtingen duidelijk zijn, is het van belang om de nieuwe regeling binnen het bedrijf te implementeren en continue te meten en te onderhouden. Hierbij is het essentieel dat er organisatiebreed bewustwording wordt gecreëerd rondom NIS2 en waarom deze zo belangrijk is voor de bedrijfsvoering. Om een plan goed te integreren binnen een organisatie, moeten medewerkers ook de noodzaak inzien en weten wat er van hen verwacht wordt. Maak de risico’s, gevolgen en verwachtingen dus ook duidelijk voor medewerkers, bijvoorbeeld met behulp van e-learning. Cybersecurity moet onderdeel worden van de bedrijfscultuur en geen opgelegde verplichting vanuit de organisatie.
Grote veranderingen, groot gewin
De komst van NIS2 brengt voor veel organisaties veranderingen met zich mee. Het doel is echter iets waar iedere organisatie profijt van heeft, namelijk een veiligere positie in de digitale wereld. Risico’s blijven groeien en kunnen grote schade aanrichten met betrekking tot de bedrijfscontinuïteit van jouw organisatie of de organisaties in jouw keten. Zorg dus dat jouw organisatie klaar is voor deze nieuwe richtlijn en de verantwoordelijkheden die deze met zich meebrengt.
