NIS wordt NIS2
De deadline voor de transitie van NIS naar NIS2 nadert snel. Eind 2024 wordt wetgeving verwacht op basis van deze Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen. Het is waarschijnlijk dat dit van invloed is op uw organisatie, temeer omdat NIS2 van toepassing is op veel meer organisaties dan de oude NIS-richtlijn. Bovendien moeten deze organisaties voldoen aan veel meer beveiligingseisen.
Is uw organisatie klaar voor NIS2?
Dirk de Goede, Security Solution Specialist Insight licht toe wat de consequenties voor bedrijven en organisaties kunnen zijn.
“Om aan de NIS2.0-richtlijnen te voldoen, is het van belang om te bepalen welke systemen en diensten van uw organisatie kwalificeren als kritieke infrastructuur en welke risico's er bestaan. Op basis daarvan kunt u bepalen welke maatregelen u moet implementeren en hoe u deze in uw organisatie kunt integreren.”
Dirk de Goede
Security Solution Specialist bij Insight
NIS2 in het kort:
Begin 2023 werd de herziene versie van de huidige Europese NIS-richtlijn geïntroduceerd. Deze richtlijn: NIS2, heeft tot doel om het niveau van beveiliging van netwerken en systemen in de hele EU te verbeteren en te waarborgen en de impact van cyberaanvallen op de economie en de samenleving te verminderen.
NIS2 introduceert strengere regels dan de oorspronkelijke NIS-richtlijn, omdat deze niet meer voldoende was voor de huidige digitale uitdagingen. De richtlijn bevat onder andere maatregelen voor het beheer van risico’s op het gebied van cyberbeveiliging en verplichtingen ten aanzien van het melden van incidenten.
Bedrijven die vallen onder de nieuwe NIS2-richtlijnen hebben tot 17 oktober 2024 de tijd om zich aan te passen aan de nieuwe standaard.
Voor wie geldt NIS2?
NIS2 is van toepassing op de volgende sectoren:
Categorie 1: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart.
Categorie 2: post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, vervaardiging, digitale aanbieders en onderzoek.
De richtlijn is van toepassing op organisaties binnen deze sectoren, met minimaal 50 werknemers en/of een jaaromzet (en/of jaarlijks balanstotaal) van EUR 10 miljoen. Er zijn echter ook specifieke situaties waarin de grootte van de organisaties geen rol speelt.
Organisaties die onder de NIS2-richtlijn vallen, worden ten minste beschouwd als "belangrijke entiteit". Organisaties uit categorie 1 met minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijks balanstotaal van EUR 43 miljoen worden gezien als "essentiële entiteit". Deze bedrijven krijgen te maken met strenger toezicht en handhaving dan ‘belangrijke entiteiten’.
Wat zijn de belangrijkste thema’s van NIS2?
Hier zijn enkele belangrijke onderwerpen die onder NIS2 vallen:
1. Risico-eigenaarschap: Het bestuur heeft een belangrijke rol bij het waarborgen van de naleving van de vereisten op het gebied van risicobeheersing. Het bestuur moet risicobeheermaatregelen op het gebied van cyberbeveiliging goedkeuren en toezicht houden op de implementatie ervan. Het bestuur kan persoonlijk aansprakelijk worden gesteld voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen.
2. Beveiligingsvereisten: Artikel 21 van de NIS2-richtlijn bevat een lijst van maatregelen voor het beheer van cyberbeveiligingsrisico's die essentiële en belangrijke entiteiten moeten treffen om hun netwerk en informatiesystemen te beschermen. Deze maatregelen omvatten incidentbehandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken op het gebied van cyberhygiëne en beleid en procedures inzake het gebruik van encryptie.
3. Beveiliging van de toeleveringsketen: Als uw organisatie onder de NIS2-richtlijn valt, moet u specifiek aandacht besteden aan de beveiliging van de toeleveringsketen. Dit omvat onder andere het identificeren van kwetsbaarheden met betrekking tot leveranciers en dienstverleners, evenals het evalueren van de kwaliteit van hun producten en cyberbeveiligingspraktijken.
4. Het melden van incidenten: Essentiële en belangrijke entiteiten moeten het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde autoriteit binnen 24 uur na een significant incident vroegtijdig waarschuwen en binnen 72 uur het incident melden. Organisaties moeten ook hun klanten informeren over incidenten. Grote incidenten worden in de richtlijn gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, evenals behoorlijke materiële of immateriële schade kunnen veroorzaken voor andere personen of entiteiten.
Hoe voor te bereiden op NIS2?
Als uw organisatie onder de NIS2-richtlijn valt, is het van belang vroeg te starten met de voorbereidingen, De genoemde thema’s kosten veel tijd om te implementeren.
Insight biedt een integrale aanpak om uw organisatie te helpen bij het voldoen aan de NIS2-richtlijn. Onze aanpak richt zich op het gebruik van bestaande processen binnen uw organisatie als basis voor naleving van NIS2, terwijl we rekening houden met andere EU-richtlijnen en -verordeningen.
Wij kunnen u helpen bij het identificeren van de nodige acties om uw organisatie te ondersteunen bij het zetten van de eerste stappen. Laat Insight u helpen bij het opzetten van een solide basis voor naleving van NIS2 en het beschermen van uw organisatie tegen cyberdreigingen.
Boek een meeting met een Expert
Ontdek alles wat u moet weten over NIS2 tijdens een Expertsessie, specifiek gericht op uw organisatie!
Tijdens deze sessie gaan we dieper in op de regelgeving van NIS2, met een focus op uw specifieke situatie en de daadwerkelijke gevolgen voor uw organisatie. De sessie biedt een uitgebreid overzicht van de impact van NIS2 op uw organisatie. Denk daarbij aan zaken als zorgplicht, meldplicht & toezicht en aansprakelijkheid. Tijdens de sessie definiëren we duidelijke vervolgstappen en een 'call to action' om uw organisatie klaar te maken voor NIS2.