NIS 2 Richtlijn (Cyberbeveiligingswet)
Wat is de NIS 2 richtlijn?
De NIS2-richtlijn richt zich op kritieke organisaties en sectoren waarbij uitval van hun diensten kan zorgen voor maatschappelijke en economische ontwrichting.
Organisaties zijn enorm afhankelijk van netwerk- en informatiesystemen. Als die systemen uitvallen, kan dat grote gevolgen hebben voor het dagelijks leven én voor de economie. Daarom bestaat sinds 2018 de Wet beveiliging netwerk- en informatiesystemen (Wbni) voor vitale sectoren. Die wet was gebaseerd op de eerste Europese NIS-richtlijn uit 2016, welke nu is vervangen door NIS2.
Dat is gedaan om te zorgen dat veel meer organisaties maatregelen treffen om de kans op uitval te beperken. Het aantal vitale sectoren dat aan de nieuwe wet moet voldoen, is uitgebreid en er is een nieuwe categorie toegevoegd onder de noemer belangrijke sectoren, inclusief de high tech- en maakindustrie. Als bedrijven in deze sector voldoen aan de criteria met betrekking tot bedrijfsgrootte en/of omzet, dienen zij zich aan de toekomstige wet te gaan houden.
NIS 2 Wetgeving
In de Europese NIS2-richtlijn is vastgelegd welke bedrijven aan welke security-eisen moeten voldoen. Hierbij wordt onderscheid gemaakt tussen zeer kritieke organisaties en belangrijke organisaties. De eerste groep is verplicht zeer strenge cybersecuritynormen na te leven, de tweede groep heeft minder strikte eisen, maar moet bijvoorbeeld wel verplicht melding maken van incidenten zoals impactvolle hacks.
Nadat de NIS 2 richtlijn was gepubliceerd, hadden Europese lidstaten officieel 21 maanden de tijd om een eigen, landelijke wet te realiseren. Net als Nederland hebben slechts weinige deze deadline van 17 oktober 2024 gehaald. Wel ligt er een wetsvoorstel in Nederland met de naam Cyberbeveiligingswet (Cbw). De Eerste en Tweede Kamer moeten deze wet nog officieel goedkeuren.
Ondertussen bereidt het Nationaal Cyber Security Centrum (NCSC) zich voor op het feit dat duizenden bedrijven zich bij hen moeten registreren en om hulp kunnen vragen. Hiervoor is het digitaal platform mijnNCSC in het leven geroepen. Verder onderzoeken toezichthouders hoe zij de regels kunnen gaan handhaven.
NIS 2 Sectoren
De vitale sectoren worden ook wel ‘zeer kritieke’ sectoren genoemd omdat de maatschappij hier niet zonder kan. Hieronder vallen namelijk afvalwater, bankwezen, beheerders van ICT-diensten, digitale infrastructuur, drinkwater, energie, gezondheidszorg, infrastructuur financiële markt, overheidsdiensten, ruimtevaart en transport.
De belangrijke sectoren zijn afvalstoffenbeheer, chemische stoffen, digitale aanbieders (marktplaatsen, zoekmachines en cloudcomputingdiensten), levensmiddelen, onderzoek, post- en koeriersdiensten en vervaardiging. Zij zijn risicovol of belangrijk voor de dagelijkse gang van zaken of voor de economie.
Voor wie is de NIS 2?
De Europese Unie heeft de verantwoordelijkheid van de NIS2-registratie toegewezen aan de organisaties zelf. Dat betekent dat organisaties zelf juridisch moeten vaststellen of zij onder de NIS2-richtlijn vallen en straks dus onder de Cyberbeveiligingswet.
Behalve de sector, bepaalt de omvang van het bedrijf en/of de omzet welke organisaties onder de nieuwe wet vallen.
NIS2-plichtig zijn bedrijven:
- Tot 50 medewerkers én een jaaromzet en balanstotaal tot 10 miljoen euro, alleen na aanwijzing van een ministerie;
- Tussen 50 en 249 medewerkers óf een jaaromzet en balanstotaal van meer dan 10 miljoen euro;
- Vanaf 250 medewerkers óf een jaaromzet van 50 miljoen euro of meer én een balanstotaal van 43 miljoen euro of meer.
Om te ontdekken of een organisatie onder de NIS2-richtlijn valt, hebben zowel het Nationaal Cyber Security Centrum als het Digital Trust Center digitale hulpmiddelen beschikbaar gesteld. Zo is er een zelfevaluatie en kun je een A4-tje downloaden dat schematisch antwoord geeft op de vraag of een organisatie zichzelf moet registreren vanwege NIS2.
Op deze manier wil de Europese Unie de kans op uitval of beschadiging van netwerk- en informatiesystemen zo klein mogelijk maken.
NIS 2 Ingangsdatum
De NIS2-richtlijn is sinds 17 oktober 2024 van toepassing. Maar alleen België, Litouwen, Letland, Kroatië, Hongarije en Italië hebben deze deadline gehaald. In Nederland is de verwachting dat de Cyberbeveiligingswet in het derde of vierde kwartaal van 2025 in werking treedt.
Tot die tijd blijft de Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht. Wie daar niet onder valt, maar straks wel onder de Cbw, heeft vooralsnog geen verplichtingen. Echter, in bepaalde gevallen hebben zij wel rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team. Hiervoor is registratie op mijnNCSC vereist.
NIS 2 Checklist
NIS2 bevat regels die organisaties verplichten om zelf een risicobeoordeling uit te voeren. Op basis daarvan moeten zij passende en evenredige maatregelen nemen om de risico’s aan te pakken en zo de beveiliging van hun netwerk- en informatiesystemen te versterken. In de lagere regelgeving, Algemene Maatregelen van Bestuur (AMvB) genaamd én de Ministeriële Regeling, worden de verplichtingen nader uitgewerkt. Het gaat hierbij om maatregelen op het gebied van bedrijfscontinuïteit, incidentenbehandeling en de beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.
Omdat de maatregelen alleen in concept zijn uitgewerkt in AMvB (Cyberbeveiligingsbesluit genoemd) en MR (Ministeriële Regeling) zijn onderstaande suggesties, tips en handreikingen gebaseerd op wat er gangbaar is in de cybersecuritypraktijk.
1. Een risicoanalyse en beveiliging van informatiesystemen;
a. Bepaal wat je wilt beschermen
b. Identificeer de risico’s
c. Analyseer de gevonden risico’s (kwalitatief en kwantitatief)
d. Besluit wat je gaat doen (accepteren, oplossen, overdragen, stoppen)
e. Actualiseer periodiek
2. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
Personeel
a. Zorg dat personeel bewust is van mogelijke cyberdreigingen, dat ze die kunnen herkennen en dat ze weten hoe ze moeten reageren.
b. Leg vast en handhaaf het starten, beëindigen of veranderen van toegang tot bedrijfsnetwerken. Welke rol krijgt iemand? Welke rechten horen daarbij?
c. Screen je personeel of vraag om een verklaring omtrent het gedrag (VOG)
Toegangsbeleid
a. Bepaald welke geautoriseerde medewerkers toegangsrechten kunnen verstrekken
b. Zorg dat verstrekte toegang relevant is
c. Geef alleen toegang voor de periode die nodig is
d. Geef specifieke rechten uit. Maak minstens onderscheid tussen admin en gebruiker
e. stel veiligheidseisen aan toegang voor externen
f. Actualiseer zodra een personeelslid van functie wisselt of vertrekt
g. Houdt bij wie welke toegangsrechten heeft (in een register)
h. Zorg dat je kunt zien wie wanneer welk recht heeft verstrekt en ontvangen (logging)
i. vereis extra veiligheidsmaatregelen voor gebuikeraccounts met verhoogde rechten
Assets
a. Inventariseer apparatuur, hard- en software en de gegevens die deze bezitten en gebruiken
b. definieer en documenteer een classificatie voor gevoelige informatie
c. verwijder assets veilig aan het einde van hun levensduur en leg dat vast
Test, toets en herzie het bovenstaande periodiek.
3. Maatregelen op het gebied van bedrijfscontinuïteit:
a.Maak een bedrijfscontinuïteitsplan
Deze bevat scenario’s waaronder uitval door een cybercrisis of -aanval en beschrijft wie welke rol, taak en verantwoordelijkheid heeft ten tijde van een incident. Bovendien breng je de belangrijkste contacten en communicatiekanalen in kaart.
b. Maak beleid voor back-upbeheer
c. Zorg voor een uitwijk- en herstelplan
d. Maak goede afspraken met je IT-dienstverlener
4. Incidentenbehandeling;
a. Zet een meldpunt op voor vermoedens van een incident of dreiging
b. Weet hoe te reageren (wie doet wat?)
c. Heb een fysieke bellijst paraat, inclusief toezichthouder en CSIRT
d. Oefen
e. Evalueer en stel (periodiek) bij
5. Basis cyberhygiëne en trainen personeel;
a. Maak werknemers bewust; stel voor hen duidelijk beleid op
b. Neem technische maatregelen (zoals antivirus, firewall, multi-factorauthenticatie) automatische back-ups)
c. Beheer toegang tot data en systemen nauwgezet
6. Beveiliging van netwerk- en informatiesystemen;
a. Monitor het verkeer in je netwerk(en)
b. Pas netwerksegmentatie toe
c. Zorg voor correcte instellingen van netwerk, systemen, hard- en software
d. Maak beleid voor implementatie en bewaken van veranderingen
e. Maak beleid voor (automatische) updates en patches
f. Ben op de hoogte van kwetsbaarheden in software
g. Neem cybersecurity standaard op in het inkoopbeleid
7. Beveiliging van de toeleveranciersketen;
a. Breng de afhankelijkheidsrelaties met ketenpartners in kaart
b. Stel eisen vast voor ketenpartners
c. Maak goede afspraken met ketenpartners; probeer risico’s te beperken naar een acceptabel niveau
d. Evalueer periodiek en stel bij
8. Beleid en procedures over het gebruik van cryptografie en encryptie;
a. Breng cryptografische systemen binnen je organisatie in kaart
b. Schrijf beleid over configuratie, encryptiestandaard en sleutelbeheer
c. Zorg dat elk cryptografisch systeem een eigenaar heeft
d. Implementeer overal het benodigde niveau van bescherming
9. Beveiligde communicatie;
a. Pas multi-factorauthenticatie toe
b. Maak gebruik van een Virtual Private Network (VPN)
c. Beperk toegang tot systemen
10. Beoordeel de effectiviteit van maatregelen
a. Betaal de frequentie van toetsing en evaluatie
b. Controleer periodiek of je de juiste maatregelen hebt genomen
c Meet periodiek of je voldoet aan geldende regelgeving
d. Wijs verantwoordelijken aan
e. Neem verbeterpunten over
BRON/INSPIRATIE: NIS2-startpunt | Digital Trust Center (Min. van EZ)
11. Leid bestuur en/of directie op
Bestuurs- en directieleden dienen in staat te zijn om te beoordelen welke maatregelen passend en evenredig zijn voor hun organisatie. Om dat te kunnen doen verplicht de NIS2 hen om scholing te volgen.
NIS 2 certificering – feit of fabel?
De NIS2-richtlijn schrijft ‘passende en evenredige’ maatregelen voor, gebaseerd op een risico analyse. Wat een onderneming precies moet doen, wordt niet voorgeschreven, omdat de maatregelen per organisatie kunnen verschillen. Daarom wordt de richtlijn, alsmede de wet die eruit voortvloeit, een ‘open norm’ genoemd.
Omdat het risicoprofiel voor elke organisatie anders kan zijn, betekent dit dat er geen NIS2 checklist is waarop gewenste maatregelen staan die men kan afvinken. Het betekent ook dat alleen een toezichthouder kan oordelen of een bedrijf voldoende doet om de cyberveiligheid te versterken. Dat wordt per geval dan wel per onderneming bekeken.
Het is een fabel dat er NIS2-certificering zou bestaan. Wat wel bestaat, is een wereldwijd erkende norm op het gebied van informatiebeveiliging, ISO 27001 genaamd. De verwachting is dat bedrijven met een ISO 27001 certificering makkelijker zullen voldoen aan de NIS2. Dit certificaat toont namelijk aan dat de informatiebeveiliging goed op orde is en dat er zorgvuldig wordt omgegaan met gevoelige gegevens.
Hoe het CWB jou kan helpen
Wie niet aan de wet voldoet, loopt het risico op hoge boetes. Bovendien geldt persoonlijke aansprakelijkheid voor leidinggevenden. NIS2 verplicht hen om kennis van zaken te krijgen en die op peil te houden. Van IT-managers, directeuren en bestuursleden wordt verwacht dat zij de NIS2-naleving binnen hun organisatie aansturen of overzien.
Een lidmaatschap van het CWB kan hierbij helpen. Want in dit samenwerkingsverband voor de hightech- en maakindustrie en haar ketenpartners, wordt veel kennis gedeeld. Bovendien heeft de stichting allerlei templates en voorbeelden waarmee leden de cyberveiligheid kunnen verbeteren. Dit werkt efficiënt en kostenbesparend, omdat CWB-participanten niet steeds zelf het wiel hoeven uit te vinden.
Dus wilt u meer weten? Neem gerust contact op met Lisette Oosterbosch (:lisette.oosterbosch@cwbrainport.nl stuur een e-mail of bel: 06-83111210 op ma.di.do) of Nannie van Bijsterveldt (nannie.van.bijsterveldt@cwbrainport.nl stuur een e-mail of bel: 06-15904539 op ma.wo.do). Meer informatie over het lidmaatschap en de kosten vindt u hier.
Het CWB beveelt ondernemers met klem aan om aan de slag te gaan met cyberbeveiliging en niet te wachten tot de Cyberveiligingswet in werking treedt. De risico’s die bedrijven en systemen lopen, zijn er immers al. Daarbij kost het tijd om doordachte maatregelen te nemen. Start dus op tijd!