De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cybersecurity en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De afgelopen jaren zetten ontwikkelingen als de covid-19-epidemie, de oorlog in Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering, de veiligheid van onze maatschappij en economie in toenemende mate onder druk. In het licht hiervan is er sinds 2020 vanuit de EU gewerkt aan de NIS2-richtlijn.
Cyberrisico’s 🌡️
De richtlijn is gericht op het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten. De NIS2-richtlijn gaat in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cybersecurity risico’s. Dit moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties in de EU. Het is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
NIS2 Sectoren 🏭
De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving. Dit biedt bedrijven iets meer tijd om aan de nieuwe regelgeving te voldoen. Voor sectoren die al onder de oorspronkelijke NIS-richtlijn vielen, zoals energie en drinkwater, is dit mogelijk slechts een verfijning van bestaande processen. Voor andere sectoren (van IT en logistiek tot publieke diensten) kan dit uitstel het verschil maken tussen in paniek voorbereiden of zorgvuldig plannen.
NIS2 Onderwerpen 🔐
Maar wat vraagt NIS2 precies? De richtlijn bevat een zorgplicht die organisaties verplicht zelf een risicobeoordeling uit te voeren. Op basis hiervan moeten passende cyberhygiëne maatregelen worden genomen om de continuïteit van de dienstverlening zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Verder is het noodzakelijk om de toeleveringsketen inzichtelijk te hebben en de beveiligingsrisico’s van de leveranciers hierin aan te pakken. NIS2 schrijft ook een meldplicht voor die benoemt dat de organisatie cyberincidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de continuïteit van dienstverlening van de essentiële entiteit aanzienlijk (kunnen) verstoren. Dit is een maatregel die in de Europese landen waar NIS2 al van kracht is, meteen tot actie heeft geleid. Wie hierin tekortschiet, riskeert zware boetes en reputatieschade, iets wat ook in Nederland niet te vermijden zal zijn wanneer de regelgeving volgend jaar in werking treedt.
Uitstel ⏰
In Nederland wordt de invoering nog even uitgesteld, dit levert veel organisaties wat extra ademruimte op, maar het uitstel betekent niet dat we achterover kunnen leunen. Nu de eerste hectiek rondom de Europese invoering voorbij is, wordt het tijd om te zien wie er goed voorbereid is en wie de laatste kans benut om zaken op orde te krijgen. NIS2 betekent niet alleen verplichtingen; het biedt ook kansen voor vooruitstrevende bedrijven om hun cybersecurity naar het juiste niveau te brengen.
Organisaties die nu proactief werken aan hun digitale weerbaarheid, hebben straks een sterke positie in de digitale keten. Door risico’s te beperken en snel te kunnen reageren op incidenten, kunnen zij zich onderscheiden van minder goed voorbereide concurrenten. Binnen Nederland is de implementatie uitgesteld tot het derde kwartaal van 2025.
Hulp is onderweg ⛑️
Voor wie nog niet helemaal klaar is, is er gelukkig hulp. De specialisten van Lemonshark staan klaar om organisaties te ondersteunen bij iedere stap van het implementatieproces. Van het opzetten van een risicomanagementsysteem tot het ontwikkelen van een crisisplan dat voldoet aan de eisen van NIS2; Lemonshark zorgt ervoor dat jouw organisatie voldoet aan de regelgeving, of je nu al aan de slag bent gegaan of pas net begint.
Nu de eerste Europese storm voorbij is en Nederland een adempauze heeft gekregen, is het echte werk begonnen. De vraag is: wacht je tot de deadline nadert, of gebruik je deze extra tijd om je echt voor te bereiden?
Mocht je meer van dit soort artikelen willen lezen, of meer willen weten over Cyber Security, volg dan onze LinkedIn-pagina of bezoek onze website!
Dit artikel is geschreven door: Ramon Mastenbroek en Ton Schilder