In een tijdperk waar digitale transformatie de kern vormt van economische en maatschappelijke verandering, wordt cyberbeveiliging steeds crucialer. De verankering van de Network and Information Security richtlijn (hierna: NIS2) en de bijbehorende Nederlandse Cyberbeveiligingswet spelen hierin een centrale rol voor het bedrijfsleven.
Maar wat houdt de NIS2-richtlijn in? Wat houdt de Cyberbeveiligingswet dan in? En welke impact heeft dit op het bedrijfsleven?
NIS2-richtlijn in a nutshell
De NIS2-richtlijn is EU-brede wetgeving inzake cyberbeveiliging en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Naast beveiligingseisen (normen) is specifiek aandacht voor de beveiliging van toeleveringsketens en rapportageverplichtingen.
Een belangrijk doel van NIS2 is het harmoniseren van het cybersecurity kader (beveiligingsnormen) binnen de EU, inclusief toezicht, handhaving en sancties. Ook richt NIS2 zich op het verbeteren van de samenwerking en informatie-uitwisseling op het gebied van cyberbeveiliging tussen de verschillende EU-lidstaten. Zo schrijft NIS2 onder meer meldingsvereisten voor incidenten voor.
Organisaties vallen onder de NIS2-richtlijn als zij actief zijn in aangewezen sectoren én volgens bepaalde criteria gekenmerkt worden als “essentiële” of “belangrijke” entiteit.
Uitval van hun diensten kunnen zorgen voor maatschappelijke en economische ontwrichting. Hierbij wordt onderscheid gemaakt in zeer kritieke sectoren, zoals energiesector, gezondheidszorg en overheidsdiensten, en andere kritieke sectoren, zoals de levensmiddelensector en de chemische sector. Zie voor een indeling van de sectoren deze website van het ministerie van justitie en veiligheid.
Essentiële entiteiten zijn grote organisaties die actief zijn in een zeer kritieke sector. Criteria betreffen minimaal 250 medewerkers of een jaaromzet > 50 mio en een balanstotaal > 43 mio. De belangrijke entiteiten betreffen middelgrote organisaties actief in een zeer kritieke sector en middelgrote en grote organisaties actief in andere kritieke sectoren. Een organisatie kwalificeert als middelgroot bij minimaal 50 werknemers of een jaaromzet en balanstotaal > 10 mio. Onze verwachting is dat door de integrale ketenbenadering organisaties in de keten van de voornoemde organisaties ook geconfronteerd worden met de vereisten vanuit NIS2. Daarnaast verwachten wij dat deze thresholds in de loop der tijd aangescherpt worden, waarmee het aantal organisaties in scope van NIS2 drastisch toeneemt.
De organisaties waarop de NIS2-richtlijn van toepassing is, moeten op grond van art.21 lid 1 passende en evenredige technische, operationele en organisatorische maatregelen nemen. In art.21 lid 2 worden een aantal maatregelen benoemd waaraan minimaal moet worden voldaan. Voorbeelden zijn beleid inzake risicoanalyse en beveiliging van informatiesystemen, back-up beheer, de beveiliging van de toeleveringsketen en basispraktijken op het gebied van cyberhygiëne (inclusief kennis en bewustzijn van cybersecurity). In aanvulling hierop publiceert de Europese Commissie uiterlijk 17 oktober 2024 specifieke maatregelen voor onder meer aanbieders van datacentra, aanbieders van cloud computing diensten en aanbieders van netwerken en aanbieders van beheerde beveiligingsdiensten.
Cyberbeveiligingswet
In Nederland is onlangs de Cyberbeveiligingswet herzien en sinds 21 mei 2024 aangeboden ter consultatie. Deze internetconsultatie loopt tot 2 juli 2024. De Cyberbeveiligingswet is de omzetting (implementatie) van de NIS2-richtlijn naar nationale wetgeving. Het doel: de fysieke, digitale en economische weerbaarheid te versterken tegen toenemende dreigingen. Op het moment dat de Cyberbeveiligingswet wordt aangenomen vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni). Om de cyberbeveiligingswet in te zien en deel te nemen aan de consultatie, zie https://www.internetconsultatie.nl/cyberbeveiligingswet.
Impact op bedrijven en overheden
De invoering van de NIS2-richtlijn voor de EU-lidstaten en Cyberbeveiligingswet in Nederland betekent dat bedrijven en overheden aanzienlijke stappen moeten zetten om aan de nieuwe eisen van de wet- en regelgeving te voldoen. Voor bedrijven betekent dit investeren in onder andere een governance structuur, het implementeren van benodigde beveiligingsmaatregelen, het opzetten van incident response mechanismen en het opleiden en trainen van medewerkers op het gebied van informatiebeveiliging op alle niveaus in de organisatie.
Voor het bedrijfsleven is dit met de beschikbare middelen maar op één manier mogelijk: het is van cruciaal belang dat cybersecurity volledig geïntegreerd wordt in de bedrijfsvoering. Niet erbij doen, maar erin doen.
Daarnaast is het cruciaal dat cybersecurity een integraal onderdeel van de gehele bedrijfsketen moet worden. Cyber dreigingen gaan verder dan alleen de interne medewerkers die zich binnen de muren van de organisatie bevinden en het voldoen aan nieuwste wetgeving. Het betekent ook dat gekeken moet worden naar klanten en leveranciers om de digitale continuïteit te waarborgen en een sterke verdediging op te bouwen tegen de voortdurende cyber dreiging.
Tot slot wordt de NIS2-richtlijn streng gehandhaafd. Bedrijven die onder de wetgeving vallen, maar de cyberveiligheid niet (aantoonbaar) op orde hebben kunnen rekening houden met forse boetes die maximaal kunnen oplopen tot 10 mio euro of 2% van de totale wereldwijde jaaromzet.
Vanaf oktober 2024 is de NIS2-richtlijn van toepassing en eind 2024 zal de herziene Cyberbeveiligingswet in werking treden. Daarom adviseren wij: “Start zo snel mogelijk met het in kaart brengen van de impact van de NIS2-richtlijn en Cyberbeveiligingswet op uw organisatie”.
Kouters Van der Meer helpt organisaties middels een pragmatische aanpak: ‘doen wat nodig is’. We ondersteunen bij het verkrijgen van inzicht, duiden wat goed gaat en wat nog beter kan gevolgd door passende acties om daar te komen. Zo zorgen we ervoor dat organisaties tijdig proportioneel ‘compliant’ zijn!