Network and Information Security (NIS 2)

Cyberaanvallen zijn onderdeel geworden van de dagelijkse realiteit en dwingen bedrijven, overheden en andere organisaties om hun digitale weerbaarheid te verhogen. Naast dat de dagelijkse praktijk dwingt om maatregelen tegen cyberaanvallen te nemen, is er in toenemende mate ook wetgeving die het nemen van cyber security maatregelen verplicht stelt. Een belangrijke ontwikkeling daarin is de komst van de nieuwe Europese Network and Information Security Directive, in Nederland inmiddels bekend als de NIS2-richtlijn.

De NIS2-richtlijn verplicht zogenaamde essentiële en belangrijke organisaties in de Europese Unie om passende technische en organisatorische maatregelen te nemen om de digitale weerbaarheid te vergroten. Tevens stelt de NIS2-richtlijn de kaders voor toezicht, handhaving en sancties die de naleving van de NIS2-richtlijn helpen afdwingen. De komst van de NIS2-richtlijn leidt bij organisaties tot verschillende vragen, zoals:

  • Wat is de NIS2-richtlijn?
  • Op welke organisaties is de NIS2-richtlijn van toepassing?
  • Welke maatregelen dient een organisatie te treffen om te voldoen aan NIS2-richtlijn?
  • Wat betekent de NIS2-richtlijn voor bestuurders?

In dit artikel leggen we aan de hand van bovengenoemde vragen de NIS2-richtlijn nader uit en behandelen we de verschillende implicaties. Afsluitend wordt uitgelegd wat Proformance kan betekenen voor organisaties die te maken krijgen met de NIS2-richtlijn.

Wat is de NIS2-richtlijn?

In 2022 heeft de Europese Unie de NIS2-richtlijn gepubliceerd. Een Europese richtlijn is een bindend voorschrift dat doelen stelt voor de lidstaten. De NIS2-richtlijn richt zich specifiek op netwerk- en informatiebeveiliging om de digitale weerbaarheid van essentiële en belangrijke organisaties en ketens in de EU te vergroten. De NIS2-richtlijn is tegelijk gepubliceerd met de Critical Entities Resilience Directive of CER-richtlijn, die zich richt op fysieke weerbaarheid van organisaties. Samen dienen deze richtlijnen de algehele weerbaarheid te vergroten van organisaties die belangrijk zijn voor het functioneren van onze maatschappij.

De EU schrijft in de NIS2-richtlijn voor dat de verschillende lidstaten eigen wetgeving dienen te ontwikkelen waarin zij de NIS2-richtlijn verwerken. Dit dient voor 17 oktober 2024 te gebeuren. De Nederlandse overheid is op dit moment (december 2023) nog bezig met het opstellen van deze wetgeving, van waaruit verdere details zullen volgen. Wel is duidelijk dat de nieuwe wetgeving het vervolg is op de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Wbni volgde uit de eerste NIS-richtlijn die werd gepubliceerd in 2016 en had een kleiner toepassingsgebied dan NIS2 nu heeft. Dit betekent dat meer organisaties te maken krijgen met de nieuwe wetgeving. Daarnaast zal de Nederlandse overheid nog meer gaan functioneren als spin in het web door samenwerking en informatiedeling te faciliteren en door de autoriteiten en mechanismen op te tuigen voor toezicht op en naleving van de wetgeving.

Hoewel de Nederlandse uitvoeringswet nog niet beschikbaar is, adviseert het Nationaal Cyber Security Centrum (NCSC) om alvast passende maatregelen te treffen zoals beschreven in de NIS2-richtlijn, ongeacht of een organisatie onder de nieuwe wetgeving valt. De rationale achter dit advies is dat cyberrisico’s nu al relevant zijn en niet wachten op wetgeving. Daarnaast is het voor iedere organisatie raadzaam is om maatregelen te treffen om de bedrijfscontinuïteit (beter) te waarborgen. Wel geldt hier dat plichten die volgen uit de wetgeving alleen van toepassing zijn op organisaties die daadwerkelijk onder wetgeving vallen. Deze plichten uiten zich grofweg in een zorgplicht, een meldplicht en toezicht. Deze plichten wordt later in dit artikel nader toegelicht.

Op welke organisaties is de NIS2-richtlijn van toepassing?

De NIS2-richtlijn is primair van toepassing op organisaties die een essentiële of belangrijke rol vervullen in het functioneren van onze maatschappij en de onderliggende infrastructuur. Denk hierbij bijvoorbeeld aan verwachte organisaties zoals overheden, nutsbedrijven, vervoersbedrijven, IT-dienstverleners, gezondheidszorg en banken, maar ook aan postbedrijven, afvalstoffenverwerkers, onderzoeksorganisaties en de maakindustrie.

De NIS2-richtlijn geldt voor organisaties die zelf een essentiële of belangrijke dienst verlenen, maar het kan ook organisaties betreffen die als leverancier in een dergelijke keten functioneren. Daarmee wordt snel duidelijk dat een groot aantal organisaties te maken zal krijgen met de NIS2-richtlijn en aansluitende wetgeving. Wel kunnen een aantal drempels gelden voor het aantal werknemers, de jaaromzet van het laatste gesloten boekjaar of de balans van het laatst gesloten boekjaar.

Om vast te stellen of de NIS2-richtlijn op uw organisatie van toepassing is, is het raadzaam om de NIS2-zelfevaluatie van de Rijksoverheid in te vullen, waar aan de hand van verschillende variabelen een zo nauwkeurig mogelijk antwoord gegeven wordt. Lees hierbij ook de disclaimer. Uiteindelijk bepaalt de wetgever of u wel of niet onder de betreffende wetgeving geldt.

Welke maatregelen dient een organisatie te treffen om te voldoen aan de NIS2-richtlijn?

De plichten die volgen uit de NIS2-richtlijn zijn te verdelen in een zorgplicht, een meldplicht en toezicht. De zorgplicht richt zich op maatregelen die organisaties dienen te nemen om hun digitale weerbaarheid te verhogen, de meldplicht richt zich op het tijdig melden van significante cyberincidenten en het toezicht richt zich op de naleving en handhaving van de wetgeving alsmede het uitvoeren van sancties bij niet naleving.

Zorgplicht

De zorgplicht verplicht organisaties om een risicoanalyse uit te voeren om inzicht te krijgen in welke cyber security risico’s relevant zijn. Op basis van de risicoanalyse dient een organisatie passende maatregelen te nemen om haar diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Hierbij noemt de NIS2-richtlijn specifiek de volgende maatregelen die ten minsten getroffen dienen te worden:

  1. beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  2. incidentenbehandeling;
  3. bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  4. de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
  5. beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  6. beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  7. basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  8. beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  9. beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  10. wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Meteen wordt duidelijk dat als een minimum al een veelomvattend beveiligingsplan noodzakelijk is, dat naarmate de risico’s toenemen uitgebreid dient te worden met aanvullende maatregelen, waarbij diezelfde risico’s ook bepalen tot op welk volwassenheidsniveau maatregelen ingevuld dienen te worden. Voor veel organisaties ligt in de uitvoering van de zorgplicht het merendeel van het werk.

Meldplicht

De meldplicht van de NIS2-richtlijn ziet erop dat organisaties die een significant cyberincident ervaren dit in ieder geval binnen 24 uur na bekendwording vroegtijdig melden bij de hiervoor aangestelde autoriteit en uiterlijk binnen 72 uur na bekendwording een uitgebreidere melding doen met een initiële beoordeling van ernst en gevolgen. De hiervoor aangestelde autoriteit kan hulp en bijstand verlenen en opschakelen met andere (Europese) autoriteiten wanneer sprake is van sector- of grensoverschrijdende gevolgen. Daarnaast zal in de nasleep van het incident een rapportageverplichting blijven bestaan.

Interessant hierbij is dat wanneer de bevoegde autoriteit publieke bekendmaking noodzakelijk acht om verdere escalatie te voorkomen of anderzijds in het algemeen belang beschouwt, zij hiertoe kan beslissen. Dit betekent dat bij publieke bekendmaking van significante incidenten reputatie- en gevolgschade voor een organisatie kan optreden. Het voorkomen van reputatieschade is daarmee een goede motivator om passende beveiligingsmaatregelen te treffen.

Toezicht

Binnen de NIS2-richtlijn wordt met toezicht het geheel aan toezicht, handhaving en sancties bedoeld. In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) – voorheen Agentschap Telecom – de bevoegde autoriteit voor toezicht en handhaving zijn. RDI krijgt onder andere bevoegdheden om inspecties ter plaatse uit te voeren, geplande of niet-geplande beveiligingsaudits af te dwingen en verzoeken om bewijs van toepassing van beveiligingsmaatregelen op te vragen.

Het RDI kan onder meer handhaven door waarschuwingen uit te delen, gelasten te stoppen met bepaalde activiteiten en gelasten bepaalde maatregelen voor een vastgestelde datum uit te voeren. Daarnaast kunnen zij sancties opleggen, zoals een aanzienlijke geldboete, het dwingen tot openbaarmaking aan klanten of aan het publiek dat er sprake is van niet naleving van de NIS2-richtlijn en het persoonlijk aansprakelijk stellen van een bestuurder of vertegenwoordiger van een organisatie.

Een geldboete kan oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet in het voorgaande boekjaar, afhankelijk van welk bedrag hoger is en welk type organisatie het betreft. Het zijn dus met name de sancties die voor organisaties en bestuurders kunnen leiden tot flinke financiële of reputatieschade door het niet treffen van passende maatregelen of anderzijds niet voldoen aan de NIS2-richtlijn.

Wat betekent de NIS2-richtlijn voor bestuurders?

Mogelijk de belangrijkste noviteit op het gebied van cyberwetgeving is dat de natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een organisatie ook de bevoegdheid heeft om ervoor te zorgen dat deze organisatie de NIS2-richtlijn nakomt. Dergelijke natuurlijke personen kunnen aansprakelijk worden gesteld voor het niet nakomen van de verplichtingen om te zorgen voor de naleving van deze richtlijn. Dit betekent dat een bestuurder gedwongen wordt eigenaarschap te nemen over de verplichtingen die volgen uit zorgplicht, meldplicht en toezicht. Dit betekent dat de bestuurder ook cyber security tot zijn takenpakket mag gaan rekenen.

Waar in het verleden binnen menig organisatie het onderwerp cyber security nog maar moeizaam naar de bestuurskamer kon worden gebracht, doet de NIS2-richtlijn dit nu vanuit wetgeving. Ten aanzien van algehele verantwoordelijkheid voor bedrijfsvoering en de beveiliging daarvan is dit een logische en goede zaak, maar dat betekent wel dat veel bestuurders zich een nieuwe thema eigen dienen te maken om juiste beslissingen te kunnen nemen. De NIS2-richtlijn verplicht organisaties en hun bestuurders dan ook om een opleiding te volgen om voldoende kennis en vaardigheden te verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging op zijn minst te kunnen beoordelen.

Wat kan Proformance betekenen voor organisaties die te maken krijgen met de NIS2-richtlijn?

Proformance beschikt over consultants die gespecialiseerd zijn in cyber security management en in de implementatie van cyber security maatregelen. Onze consultants zijn in staat om in de bestuurskamer een begrijpelijk verhaal over cyber security neer te leggen en als klankbord te fungeren, maar beheersen ook de operationele uitvoering. Onze consultants helpen u met het herkennen en begrijpen van cyberdreigingen die voor uw organisatie relevant zijn. Vervolgens adviseren we u pragmatisch over welke maatregelen u kunt treffen en hoe dit kostenefficiënt gerealiseerd kan worden.

Om u te helpen met de voorbereiding op de wetgeving die zal volgen uit de NIS2-richtlijn kunnen we u bij verschillende activiteiten ondersteunen. We bieden daarbij diensten aan zoals een NIS2 gapanalyse met opvolgend advies, een volledig NIS2 implementatietraject of het periodiek adviseren om compliance met de NIS2-richtlijn te bereiken. Daarnaast kunnen we u ook ondersteunen bij delen van het implementatietraject, zoals het inrichten van risicomanagementprocessen en procedures om risico’s te herkennen, te beoordelen en passende maatregelen ter mitigatie te selecteren. Bij behoefte aan andere kennis of ondersteuning is natuurlijk ook maatwerk mogelijk. Neem bij interesse in onze dienstverlening contact met ons op.

Dit artikel is geschreven door Redmar Jager op 4 januari 2024