De NIS2 in afwachting van de Cyberbeveiligingswet
Wacht niet af, maar ga nu aan de slag met NIS2
Op 17 oktober is de Europese NIS2-richtlijn van kracht gegaan. Nederland vertaalt deze richtlijn naar de Cyberbeveiligingswet (Cbw). De verwachting is dat de Cbw in het derde kwartaal van 2025 in werking treedt. Wacht als organisatie niet tot die tijd, maar begin nu al met de voorbereidingen op NIS2. In deze blog lees je meer over de verplichtingen en geef ik uitleg over enkele belangrijke onderdelen van NIS2.
Cbw: wel rechten, geen plichten
Op 17 oktober 2024 is de nieuwe Europese NIS2-richtlijn officieel van kracht gegaan. In Nederland wordt deze omgezet naar de Cyberbeveiligingswet (Cbw), die naar verwachting in het derde kwartaal van 2025 in werking treedt. Gemeenten hebben nu al recht op ondersteuning bij digitale incidenten, waarbij de Informatiebeveiligingsdienst (IBD) de rol van sectorale Computer Incident Response Team (CSIRT) vervult. Hoewel de Cbw nog niet geldt, is het belangrijk om nu al aan digitale weerbaarheid te werken. Lees op de website van de IBD meer informatie over de rechten voor gemeenten.
Wat is de Digital Decade?
De basis voor NIS2 ligt in de EU Cybersecurity Strategy van 2013, die in 2020 werd vernieuwd als de ‘Digital Decade’. De Digital Decade, ook wel het Digitaal Decennium genoemd, is een ambitieus programma van de Europese Unie (EU) dat richting geeft aan de digitale ontwikkelingen die de EU tegen 2030 wil bereiken. Digitale technologieën moeten een centrale rol spelen in de economische, maatschappelijke en ecologische vooruitgang van Europa. De strategie richt zich op vier hoofddoelen:
- Meer digitale vaardigheden: Iedereen moet beschikken over basis digitale vaardigheden, en er moeten meer ICT-specialisten komen.
- Sterkere digitale infrastructuur: Zorgen voor een robuust netwerk dat bestand is tegen cyberaanvallen.
- Betere cyberveiligheid: Extra beveiliging van netwerken en systemen, vooral voor essentiële diensten.
- Meer samenwerking: EU-landen en de private sector werken samen om cyberdreigingen aan te pakken.
Met de NIS2-richtlijn wil de EU een veiliger digitaal landschap creëren, waarbij de focus ligt op preventie en respons op cyberdreigingen. Naast NIS2 introduceert de EU binnen de Digital Decade diverse cybersecuritywetgevingen, zoals de Cyberbeveiligingsverordening, de Cyberweerbaarheidsverordening en de Critical Entities Resilience (CER) verordening. Om de impact van deze nieuwe wetgeving op gemeenten te onderzoeken, heeft de Vereniging van Nederlandse Gemeenten (VNG) een impactanalyse uitgevoerd. De bevindingen zijn gepubliceerd in het eindrapport ‘Analyse Samenhang Europese digitale wetgeving fase 1’.
Voor wie geldt de NIS2 en wat staat er in?
En wat is de relatie naar de CER en de BIO 2.0
De NIS2-richtlijn maakt deel uit van het EU Digital Decade-programma, dat Europa digitaal sterker wil maken en de weerbaarheid wil vergroten. Naast de NIS2-richtlijn heeft de EU ook de Critical Entities Resilience Directive (CER-richtlijn) aangenomen. Deze richt zich op de bescherming van kritieke fysieke infrastructuur. Organisaties die onder de CER-richtlijn vallen, worden automatisch ook als ‘essentieel’ beschouwd onder de NIS2-richtlijn, waardoor ze aan aanvullende informatiebeveiligingseisen moeten voldoen.
Daarnaast stelt de NIS2-richtlijn minimumeisen voor informatiebeveiliging, die terugkomen in de Baseline Informatiebeveiliging Overheid (BIO 2.0). De BIO 2.0 biedt een standaard voor informatiebeveiliging bij overheidsorganisaties en helpt hen te voldoen aan de eisen van de NIS2. Wanneer NIS2 in Nederland wordt omgezet in de Cbw, wordt de BIO 2.0 hierin opgenomen. Dit zorgt ervoor dat alle overheidsorganisaties één basisniveau voor informatiebeveiliging hanteren, wat consistentie en een hoger beveiligingsniveau binnen de gehele publieke sector bevordert. Als gemeente kun je je nu al voorbereiden op NIS2 door de BIO 2.0 te volgen.
Wil je meer weten? Lees ook mijn eerdere blogs ‘BIO 2.0 – NIS2, Cbw, 27001, BSM, OT en 27005’ en ‘Het huwelijk tussen de BIO en NIS2’.
Welke organisaties vallen onder NIS2?
De NIS2-richtlijn richt zich op sectoren en organisaties die essentieel zijn voor de samenleving. Deze worden in de richtlijn onderverdeeld in drie hoofdgroepen:
- Essentiële diensten: Organisaties die cruciale diensten leveren voor de samenleving, zoals gezondheidszorg, transport, energiebedrijven en lokale overheden. Uitval van deze diensten kan grote gevolgen hebben voor de samenleving.
- Belangrijke entiteiten: Grotere organisaties in sectoren zoals digitale infrastructuur, chemische industrie, voedselproductie en financiële instellingen. Zij spelen een belangrijke rol in de economie en infrastructuur.
- Digitale dienstverleners: Aanbieders van online marktplaatsen, zoekmachines en cloud computing. Hun diensten zijn vaak essentieel voor andere organisaties en de bredere digitale economie.
Door deze entiteiten onder NIS2 te plaatsen, wil de EU samenwerking tussen verschillende sectoren stimuleren en een hoger beveiligingsniveau realiseren.
Hoe zit NIS2 in elkaar?
De NIS2-richtlijn is opgebouwd uit verschillende hoofdstukken die elk een specifiek aspect van cyberbeveiliging behandelen:
- Hoofdstuk 1 – Algemene bepalingen: Dit hoofdstuk bevat de doelstellingen, toepassingsgebied en definities die relevant zijn voor de verordening.
- Hoofdstuk 2 – Beveiligingseisen: Dit hoofdstuk beschrijft de verplichtingen en beveiligingseisen voor essentiële en belangrijke entiteiten, waaronder risicobeheer en incidentenbeheer.
- Hoofdstuk 3 – Meldingsplicht voor beveiligingsincidenten: Hierin worden de vereisten voor het melden van beveiligingsincidenten en de verantwoordelijkheden van de betrokken entiteiten uiteengezet.
- Hoofdstuk 4 – Toezicht en handhaving: Dit hoofdstuk behandelt de toezichthoudende autoriteiten, hun bevoegdheden en hoe de naleving van de verordening wordt gewaarborgd.
- Hoofdstuk 5 – Samenwerking en informatie-uitwisseling: Dit gedeelte richt zich op de samenwerking tussen lidstaten en de uitwisseling van informatie om de cyberveiligheid te verbeteren.
- Hoofdstuk 6 – Slotbepalingen: Dit hoofdstuk bevat diverse administratieve en juridische bepalingen, zoals de implementatie en inwerkingtreding van de verordening.
Deze structuur zorgt ervoor dat de NIS2-richtlijn een breed scala aan onderwerpen binnen cyberbeveiliging dekt en de implementatie ervan in de lidstaten ondersteunt.
Cybersecurityrisico’s binnen NIS2
De NIS2-richtlijn gebruikt verschillende termen om cybersecurityrisico’s te beschrijven, waaronder:
- Dreigingen (Threats): Mogelijke gevaren, zoals hackers, malware of zelfs natuurrampen, die de veiligheid van systemen bedreigen. Het identificeren van dreigingen is cruciaal voor het ontwikkelen van effectieve beveiligingsstrategieën.
- Kwetsbaarheden (Vulnerability): Zwakke punten in systemen die kunnen worden misbruikt, zoals verouderde software of een onveilige configuratie. Het is belangrijk voor organisaties om kwetsbaarheden regelmatig te evalueren en aan te pakken om hun beveiliging te versterken.
- Gebeurtenissen (Events): Incidenten die invloed hebben op de werking van een organisatie, zonder direct schade te veroorzaken. Het monitoren van gebeurtenissen helpt bij het identificeren van mogelijke dreigingen en kwetsbaarheden.
- Bijna-ongeluk (Near-misses): Situaties waarin een probleem bijna ontstond, maar werd voorkomen. Het analyseren van deze gevallen biedt waardevolle inzichten in potentiële risico’s en kan organisaties helpen om toekomstige incidenten te voorkomen.
- Incidenten (Incidents): Gebeurtenissen die schade of verstoring veroorzaken, zoals een datalek of ransomware-aanval. Organisaties moeten hierop voorbereid zijn en moeten procedures hebben voor het melden en reageren op incidenten, zoals beschreven in de NIS2.
- Crisis (Crises): Ernstige situaties met grote impact, die voortkomen uit incidenten. Het managen van crises vereist een gecoördineerde aanpak, vaak met betrokkenheid van hogere managementlagen en externe instanties.
Wie heeft welke verantwoordelijkheid?
In de NIS2-richtlijn worden verschillende verantwoordelijkheden benadrukt die gericht zijn op het versterken van cyberbeveiliging. Deze verantwoordelijkheden zorgen ervoor dat niet alleen de technische kant maar ook de organisatorische en menselijke aspecten van beveiliging binnen de organisatie worden gedekt. Hieronder een overzicht van de verantwoordelijkheden voor diverse rollen:
- Het management: Zij zijn verantwoordelijk voor het waarborgen van de implementatie van NIS2 en moeten prioriteiten stellen, middelen toewijzen en toezien op de naleving van de richtlijn. Daarnaast moeten zij ervoor zorgen dat er duidelijke processen zijn voor risicomanagement en dat de juiste maatregelen zijn getroffen om de continuïteit van bedrijfsprocessen te garanderen.
- De Chief Information Security Officer (CISO): De CISO is de sleutelfiguur voor informatiebeveiliging binnen de organisatie en is verantwoordelijk voor het ontwikkelen en onderhouden van beveiligingsmaatregelen en -beleid. De CISO zorgt ervoor dat risico’s tijdig worden geïdentificeerd en beheerst, dat er adequate incidentresponsteams zijn en dat periodieke controles en audits worden uitgevoerd om kwetsbaarheden te identificeren.
- De Privacy Officer en de Functionaris Gegevensbescherming (FG): Zij zorgen voor naleving van de privacyregels (AVG) en bescherming van persoonsgegevens in lijn met de NIS2-richtlijn. De Privacy Officer, FG en CISO werken nauw samen om ervoor te zorgen dat beveiliging en privacy in balans zijn.
- Medewerkers: Moeten veiligheidsmaatregelen volgen en verdachte activiteiten melden. Training en bewustwording zijn belangrijk om hen te ondersteunen in hun rol als eerste verdedigingslinie tegen beveiligingsrisico’s.
- Leveranciers: Zijn verplicht om dezelfde beveiligingsnormen te hanteren en te voldoen aan de NIS2-vereisten. Zorg voor duidelijke afspraken en voer regelmatig audits en beoordelingen uit om de naleving te verifiëren.
Start vandaag nog
De NIS2-richtlijn vraagt om een proactieve houding en nauwe samenwerking, zowel binnen als buiten de organisatie. Wacht niet af, maar ga nu aan de slag met NIS2. Start met een GAP-analyse (het instrument van de IBD hiervoor is binnenkort beschikbaar) en stel een implementatieplan op voor verbeteringen die je (1) al had moeten uitvoeren, maar nu extra aandacht verdienen, en (2) die nieuw verplicht worden onder NIS2. Verhoog je digitale weerbaarheid en bereid je organisatie goed voor, ook zonder dat de Cbw al van kracht is. Cyberdreigingen blijven immers een constante en toenemende uitdaging.
Voor de liefhebbers: de volledige tekst van de NIS2-richtlijn is beschikbaar op de website van de Europese Unie en de voorlopige Nederlandse wettekst is te vinden op internetconsultatie.nl.