Bestuurders worden verantwoordelijk voor security – wat betekent NIS2 voor jouw organisatie?
Apple en Amac Pro helpen iO-werknemers te ondersteunen in hun werk Apple en Amac Pro helpen iO-werknemers te ondersteunen in hun werk

Bestuurders worden verantwoordelijk voor security – wat betekent NIS2 voor jouw organisatie?

De uitwerking van de nieuwe Europese Network en Information Security-richtlijn (NIS2) moet officieel in oktober zijn beslag krijgen in een Nederlandse wet. De vernieuwde richtlijn – opvolger van NIS1 – stelt strengere beveiligingseisen aan een grotere groep bedrijven en introduceert meer handhavingseisen met hogere boetes. Bestuurders worden door NIS2 verantwoordelijk gehouden van de inspanningen van het bedrijf op cybersecuritygebied.

De vorige NIS-richtlijn stamt uit 2016 en had tot doel netwerken en informatiesystemen van kritieke en gevoelige infrastructuur in alle EU-lidstaten te beveiligen. Door de forse toename van cyberdreigingen in de afgelopen zes jaar zag de Europese Commissie zich genoodzaakt de richtlijn te updaten naar de huidige eisen van de Europese samenleving. NIS2 verschilt op twee belangrijke punten van de oorspronkelijke richtlijn: zowel het aantal kritieke sectoren als en het aantal entiteiten dat aan de beveiligingseisen moet voldoen, wordt uitgebreid. Daarnaast zijn de beveiligingseisen, rapportageverplichtingen en handhavingseisen fors aangescherpt.

Sectoren, entiteiten en ketens

Sectoren die al onder de eerste NIS-richtlijn vielen, zijn de gezondheidszorg, digitale infrastructuur, vervoer, watervoorziening, digitale dienstverleners, infrastructuur voor banken en financiële markten en de energiesector. De nieuwe NIS2-richtlijn voegt hieraan toe: 

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten;
  • Afvalwater- en afvalbeheer;
  • Productie van bepaalde kritieke producten, zoals farmaceutische producten, medische apparatuur en chemicaliën;
  • Voedsel;
  • Digitale diensten, zoals platformen voor socialen netwerken en datacenterdiensten;
  • Ruimtevaart;
  • Post- en koeriersdiensten;
  • Openbaar bestuur. 

Samengevat omvat de nieuwe richtlijn 15 sectoren die niet alleen cruciaal zijn voor de ontwikkeling van de economie, maar ook voor het dagelijks leven in Europa.

De nieuwe NIS2 focust daarnaast sterker op een veilige toeleveringsketen. Ook wanneer een organisatie zelf niet direct onder de richtlijn valt, hebben ze vaak klanten die dat wel doen. Aangezien deze klanten nu ook overeenkomstige beveiligingseisen moeten hebben ten opzichte van hun leveranciers, kunnen deze eisen voor organisaties die zelf niet direct onder NIS2 vallen, sterk toenemen.

Basismaatregelen

In NIS2 is een lijst met tien belangrijke maatregelen opgenomen die organisaties moeten helpen bij het beheren van risico’s voor netwerk- en informatiebeveiliging. Dit zijn:  

  1. Beleid voor risicoanalyse en de beveiliging van informatiesystemen;
  2. Incidentafhandeling (preventie, detectie en response);
  3. Bedrijfscontinuïteit (zoals back-up management en disaster recovery) en crisisbeheer;
  4. Beveiliging van de toeleveringsketen, inclusief security gerelateerde aspecten van de relaties tussen de entiteit en zijn directe leveranciers of dienstverleners;
  5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken en informatiesystemen, waaronder behandeling en bekendmaking van kwetsbaarheden;
  6. Beleid en procedures ter beoordeling van de effectiviteit van risicobeheersmaatregelen op het gebied van cybersecurity te beoordelen;
  7. Elementaire cyberhygiënepraktijken en cyberbeveiligingstraining;
  8. Het gebruik van cryptografie en encryptie;
  9. Personeelsbeveiliging, toegangscontrolebeleid en activabeheer;
  10. Het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde communicatiesystemen voor noodgevallen binnen de entiteit, indien van toepassing.

Gevolgen voor organisaties

De NIS2 legt meer verantwoordelijkheid bij het hoogste bestuursorgaan van een bedrijf. Zij moeten de invoering van beveiligingsmaatregelen goedkeuren en controleren. Bovendien zijn zij hoofdelijk aansprakelijk voor afwijkingen. Dat betekent dat niet alleen medewerkers getraind moeten worden in awareness op het gebied van cyberrisico’s, maar dat cybersecuritytraining op alle lagen noodzakelijk is. Sterker nog, om de juiste maatregelen, procedures en processen te kunnen goedkeuren en controleren, zullen veel bestuurders en directieleden hun kennis van cybersecurity fors moeten bijspijkeren. Zij zijn namelijk ook verantwoordelijk voor risicobeoordeling en controle van de cyberbeveiliging in de vorm van beleid. Door het Nationaal Cyber Security Centrum en het Ministerie van Justitie en Veiligheid is een webpagina gemaakt waarin de basismaatregelen voor cybersecurity uiteen worden gezet.

Meldplicht en boetes

Er komt bovendien strenger toezicht op governance. Organisaties die de vereiste maatregelen niet voldoende of goed implementeren, kunnen flinke boetes tegemoetzien. Gebrekkige naleving wordt gecontroleerd door toezichthouders, maar organisaties hebben bovendien onder de nieuwe wet- en regelgeving zélf een meldplicht, vergelijkbaar met de meldplicht wanneer er een datalek geconstateerd is. De NIS2-melding moet binnen 24 uur worden gedaan, gevolgd door een eindverslag, uiterlijk een maand later. Cruciaal hierin is dat niet alleen incidenten moeten worden gemeld, maar ook significante dreigingen. 

In het geval van non-compliance heeft dit in de toekomst dus gevolgen voor natuurlijke personen. Wanneer de getroffen securitymaatregelen onvoldoende wordt bevonden of de meldplicht wordt geschonden, kunnen boetes worden opgelegd van tenminste 10 miljoen euro of 2 procent van de wereldwijde jaaromzet van de organisatie (afhankelijk van welk bedrag hoger is). Dit maakt cybersecurity niet langer een zaak voor de IT-afdeling, maar een directe verantwoordelijkheid van de directie.

Voorbereiding 

De definitieve tekst van de richtlijn werd eind 2022 goedgekeurd door de Europese Commissie, waarna de lidstaten 21 maanden de tijd kregen – tot 17 oktober 2024 – om de richtlijn om te zetten in nationale wet- en regelgeving. Demissionair minister van Justitie en Veiligheid, Dilan Yesilgoz, liet eerder al weten deze deadline niet te gaan halen. Toch ontslaat dit organisaties niet van hun plicht te voldoen aan de NIS2. Geadviseerd wordt om in een zo vroeg mogelijk stadium te starten met het implementeren van de basismaatregelen zodat de organisatie straks sneller en eenvoudiger kan voldoen aan de wet- en regelgeving die op basis van deze maatregelen wordt opgesteld door de Nederlandse overheid.

Bereid je voor met Amac Pro 

Valt jouw organisatie straks onder NIS2 of krijg je er via je supply chain mee te maken? Start dan nu al met de voorbereidingen, zodat je straks niet voor verrassingen komt te staan. Bij Amac Pro bieden we verschillende oplossingen op het gebied van beveiliging voor macOS en iOS.

Ontdek meer