Wellicht, en hopelijk, kent u hem al, de momenteel in Europa geldende Network en Information Security richtlijn (NIS). Het kan zijn dat u er al wel eens van gehoord hebt, maar er nog niet mee te maken hebt gehad. Deze richtlijn geldt namelijk voor essentiële bedrijven, zoals water- en telecombedrijven.
Tegenwoordig wordt NIS echter niet meer als toereikend geacht, dus komt de EU met een nieuwe versie: NIS 2. Er gaan zeker tien keer zo veel bedrijven onder NIS 2 vallen dan onder de huidige richtlijn. Hierdoor bestaat er een grote kans dat ook uw bedrijf aan deze wetgeving moet gaan voldoen. Dat komt omdat er meer bedrijven worden aangemerkt als essentieel of belangrijk, maar ook omdat er gekeken moet worden naar de volledige supply chain.
- De tien sectoren die als essentieel zijn aangemerkt zijn energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater, afvalwater, ruimtevaart, overheidsdiensten/ openbaar bestuur en digitale infrastructuur.
- De sectoren post- en koerierdiensten, afvalbeheer, productie en distributie chemische stoffen, voedingsproductie, -verwerking en -distributie, verwerkende industrie en digitale aanbieders worden als belangrijk beschouwd en vallen dus OOK onder NIS2.
In mei 2022 is er een politiek akkoord bereikt tussen het Europees Parlement en de Raad van de Europese Unie over de nieuwe richtlijn. In november 2022 vond de formele goedkeuring door het Europees Parlement en de Raad plaats. Vanaf dat moment krijgen lidstaten achttien maanden om deze regels te implementeren in nationale wetgevingen. Dit betekent onder andere dat zij moeten voldoen aan hogere eisen, er strengere toezichtsmaatregelen komen en dat sanctiemaatregelen, net als rapportageverplichtingen, tussen lidstaten worden geharmoniseerd. NIS 2 is tenslotte samengesteld om data zo goed mogelijk te beschermen in een maatschappij die een digitale transformatie ondergaat en waarbij het dreigingslandschap uitbreidt.
Governance & risicobeheersing
De noodzaak om cybersecurity beter te regelen, is groter dan ooit. Voor de business continuity is het daarom essentieel om zo snel mogelijk aan de NIS 2 richtlijn te voldoen.
De belangrijkste stappen om te nemen om NIS 2 zo snel mogelijk te implementeren binnen uw organisatie:
Breng de risico’s in kaart en maak deze beheersbaar
Dit begint bij inventariseren wat prioriteit heeft en wat niet. Zorgen dat de risico’s zo snel mogelijk in kaart worden gebracht en beheersbaar worden gemaakt, biedt een goede basis tegen cybercriminaliteit. Denk bijvoorbeeld aan het bewustzijn van medewerkers toen iedereen plotseling ging thuiswerken tijdens de pandemie. Op de website van Tesorion vindt u zeven concrete basismaatregelen die genomen kunnen worden, tegen zo laag mogelijke kosten, om de basis cyberhygiëne op orde te krijgen. Onthoud altijd dat de vraag niet is of u getroffen wordt, maar wanneer.
Zorg dat uw organisatie op de hoogte is van de juridische verplichtingen
Een gevolg van NIS 2 is dat er strenger gecontroleerd wordt op governance. En het niet goed implementeren van deze regeling gaat grotere gevolgen hebben. Er zullen meer controlemomenten of audits door toezichthouders plaatsvinden. Wanneer hieruit blijkt dat organisaties niet voldoen aan de verplichtingen, worden er flinke boetes opgelegd. Er wordt daarnaast ook meer van organisaties zelf verwacht. Zo hebben veel organisaties een meldplicht wanneer er een incident wordt gedetecteerd, vergelijkbaar met de AVG. Deze melding moet binnen 24 uur geplaatst worden, gevolgd door een eindverslag uiterlijk een maand later. En zelfs dreigingen moeten worden gemeld.
Daarnaast dwingt NIS 2 u ook om met leveranciers om tafel te gaan. Want wat als er een cyberincident is bij één van uw leveranciers? Cybercriminelen kunnen via het netwerk van een van uw (externe) partners ook uw organisatie binnendringen. Hoe leveranciers en partners hun beveiliging hebben ingeregeld, heeft daarom directe invloed op de eigen beveiliging. Ook hier moeten dus risico’s in kaart worden gebracht en afspraken worden gemaakt. Wie is er aansprakelijk voor de (verloren) kosten in het geval van een cyberincident? Dit moet vastgelegd worden in contracten.
Omdat cybersecurity een specifieke discipline is, is het raadzaam om bij het maken van contractuele afspraken gebruik te maken van de kennis van een hierin gespecialiseerde juridische dienstverlener.
Praktische implementatie
Wanneer de risico’s in kaart zijn gebracht, beheersbaar zijn gemaakt en de juridische verplichtingen duidelijk zijn, is het van belang om de nieuwe regeling binnen het bedrijf te implementeren en continue te meten en te onderhouden. Hierbij is het essentieel dat er organisatiebreed bewustwording wordt gecreëerd rondom NIS 2 en waarom deze zo belangrijk is voor de bedrijfsvoering. Om een plan goed te integreren binnen een organisatie, moeten medewerkers ook de noodzaak inzien en weten wat er van hen verwacht wordt. Maak de risico’s, gevolgen en verwachtingen dus ook duidelijk voor medewerkers, bijvoorbeeld met behulp van e-learning. Cybersecurity moet onderdeel worden van de bedrijfscultuur en geen opgelegde verplichting vanuit de organisatie.
Grote veranderingen, groot gewin
De komst van NIS 2 brengt voor veel organisaties veranderingen met zich mee. Het doel is echter iets waar ieder bedrijf profijt van heeft, namelijk een veiligere positie in de digitale wereld. Risico’s blijven groeien en kunnen grote schade aanrichten met betrekking tot de bedrijfscontinuïteit van uw organisatie of de organisaties in uw keten. Zorg dus dat uw organisatie klaar is voor deze nieuwe richtlijn en de verantwoordelijkheden die deze met zich meebrengt.