Uiterlijk oktober 2024 moeten alle bedrijven voldoen aan de NIS2-richtlijn. Heeft die ook betrekking op de beveiliging van jouw gegevens? De kans is groot, want de reikwijdte van NIS2 is een stuk groter dan zijn voorganger.
We leggen in deze blog uit wat de richtlijn inhoudt en hoe je eraan voldoet. Daarnaast laten we zien op welke onderdelen van jouw organisatie de nieuwe richtlijn betrekking heeft.
Waar gaat de NIS-richtlijn over?
De NIS2-richtlijn maakt bedrijven weerbaarder tegen cyber security criminaliteit. Het verzwaart eisen aan IT-infrastructuur en Operational Technology (OT) om cybercriminaliteit buiten de deur te houden. Daarnaast vergroot het de verantwoordelijkheid van bedrijven voor het aanleveren van rapportages bij incidenten.
Het regelt daarnaast strengere handhaving door overheden en harmonisatie van de regels voor heel de EU. Daar heb je - als het goed is – als organisatie dus minder mee te maken.
Het zit hem vooral in de eisen voor jouw organisatie. Die zijn zwaarder, hebben betrekking op meer gebieden en gelden voor meer sectoren.
Voor wie geldt de NIS2-richtlijn?
De voorganger van de NIS2-richtlijn had het vooral over essentiële infrastructuur. Denk aan energiebedrijven, overheden en strategisch onmisbare bedrijven. Daarnaast konden bedrijven ook door hun omvang onder de regels van NIS vallen.
en wees voorbereid op de nieuwe richtlijn.
De tijd heeft niet stil gestaan. Ook wij zien dat kleinere organisaties vaker aangevallen worden. Tot voor kort werden grotere bedrijven vooral aangevallen door hackers. Logisch. Daar is immers met 1 geslaagde poging tot indringing een hoop te halen.
Dat waren dure lessen voor deze bedrijven en ze hebben ervan geleerd door hun IT-systemen en OT beter te beveiligen. Gevolg is dat de focus van hackers is verschoven naar middelgrote en kleinere bedrijven.
Er is nog andere reden voor de grotere reikwijdte van NIS2. Bedenk maar eens wat er gebeurt als jij je zaken wel goed voor elkaar hebt, maar je toeleverancier wordt getroffen. Stel, die toeleverancier verzorgt de verzending van jouw producten. Dan liggen de adresgegevens van jouw klanten op straat.
De strengere regels zijn daarnaast nodig door de verregaande connectiviteit en de verbondenheid in Nederland. Systemen, servers en datacenters zijn onderling verbonden en dat brengt veel voordelen met zich mee, maar ook besmettingsgevaar als het mis gaat.
De NIS2 maakt onderscheid tussen 2 categorieen bedrijven: essentiele bedrijven en belangrijke bedrijven. De essentiele worden nog eens ondervedeeld in kritieke en zeer kritieke sectoren.
Zeer kritieke sectoren volgens Bijlage I van de richtlijn
- Energiebedrijven
- Waterleidingbedrijven
- Banken
- Beheer van ict-diensten
- Overheden
- Ruimtevaart, e.a.
Overige kritieke sectoren in Bijlage II
- Kritieke sectoren met bedrijven voor o.a.
- bereiding en distributie van levensmiddelen
- verwerking van afval
- verwerking van afvalwater
- post- en koeriersdiensten.
De eisen voor deze bedrijven zijn gelijk, maar toezicht en sancties zijn zwaarder voor kritieke sectoren.
Val je niet in een van de sectoren? Is de onderneming kleiner? Dan kun je alsnog te maken krijgen met NIS2, met name als ICT en IT-dienstverlening een grote rol speelt op de werkvloer.
NIS2 in de praktijk
De richtlijn draait het om zorgplicht, meldplicht en toezicht. Dat betekent dat je bedrijf weerbaar moet zijn en adequaat beschermd, dat dit aantoonbaar is met documentatie en dat bedrijven die je erbij helpen, gecertificeerd zijn om deze diensten aan te bieden. Een incident moet binnen 24 uur gemeld worden als dit de continuiteit heeft verstoord en in andere gevallen staat hier 72 uur voor.
Na een incident zullen overheidsdiensten, zoals het Nationaal Cyber Security Centrum optreden. Je zult in ieder geval binnen een maand een verslag van de gebeurtenissen moeten opmaken.
Moet ik mij houden aan de NIS2-richtlijn?
Het antwoord is: de kans is groot. Het is nu een richtlijn geworden met resultaatverplichting, in tegenstelling tot de vorige richtlijn die alleen inspanningsverplichting had. Op andere gebieden is de vrijblijvendheid er ook van af. Met name voor leidinggevende functies is het opletten geblazen.
Moet dat nu al?
Nee, je moet nog niet voldoen aan de richtlijn. Maar ja, je moet er nu wel mee aan de slag. Na oktober 2024 moet alles in orde zijn en dat is sneller dan je denkt. En de eisen zijn breed geformuleerd en strenger, dus er ligt huiswerk. Momenteel wordt de Europese richtlijn opgenomen in nationale wetgeving. De vertaling naar Nederlandse wetgeving is dus nu bezig. In het najaar begint hiervoor consultatie bij bedrijven.
Wat zegt NIS2 over een incident?
Veiligheid op het gebied van Cyber Security is van landsbelang. En een cyberaanval kan gevolgen hebben voor de maatschappij als geheel. Mede om die reden kunnen bestuurders van getroffen bedrijven volgens NIS2 ook hoofdelijk aansprakelijk worden gesteld voor gemaakte fouten of laks beleid. De boetes zijn in ieder geval verhoogd en kunnen oplopen tot in de miljoenen. Of enkele procenten van de jaarwinst. Je hebt dus iets uit te leggen als het mis gaat.
Met deze kennis in het achterhoofd, zal het je inmiddels duidelijk zijn. Nietsdoen is geen optie.
Wat moet ik nu doen?
Moet je aan de slag met NIS2? Aumatics geeft je antwoord op die vraag. Wij kunnen daarnaast met een NIS2-quick scan aangeven op welke plekken je aan de slag moeten met de beveiliging van IT (en OT) en op welke manier. Zet de eerste stappen met de Quick Scan