NIS is de afkorting van Network & Information Systems en biedt namens de EU een kader voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. In andere woorden, het doel van de NIS is om binnen de EU het cyberweerbaarheidsniveau te verhogen. Door de toenemende dreigingen en door de grote mate van afhankelijkheid van de digitalisering van de maatschappij is de huidige NIS niet voldoende meer. Daarom wordt de bestaande NIS richtlijn vervangen door de Network & Information Systems versie 2: NIS2.
De NIS2 is op 27 december 2022 gepubliceerd. Echter hebben alle Europese landen tot 17 oktober 2024 om de richtlijn in nationale wet- en regelgeving te implementeren. Dat is daarmee ook direct de datum dat NIS2 volledig doorgevoerd moet zijn binnen de bedrijfsvoering. Hands on ICT helpt haar klanten dag in dag uit met het nemen van de juiste securitymaatregelingen om cybercriminaliteit tegen te gaan. De aangescherpte richtlijn bewijst nogmaals hoe belangrijk het is om dit goed op orde te hebben. In dit blog leggen we NIS2 in de basis uit zodat je aan de slag kunt met het implementeren van de vernieuwde richtlijn.
Door de NIS-richtlijn is de cyberveiligheid van de EU-landen over het algemeen groter geworden. Maar gezien de toenemende dreigingen en de grote mate van afhankelijkheid van de digitalisering die met de coronacrisis nog sterker naar voren kwam is gebleken dat de huidige richtlijn niet voldoende is. Daarom heeft de Europese Commissie een voorstel ingediend om de NIS-richtlijn te vervangen door een nieuwe NIS: NIS2. Deze NIS2 is echter nog niet volledig door het besluitvormingsproces gegaan. De verschillen tussen de huidige NIS-richtlijn (NIS1) en NIS2 zijn te vinden op het gebied van sectoren en aanbieders, beveiligingseisen en toezichtmaatregelen.
Met de moderne werkplek van nu en de opkomst van het hybride werken heeft het bestrijden van cybersecurity een nog grotere rol ingenomen bij bedrijven. Het beveiligen van je kritische bedrijfsdata wordt hiermee namelijk steeds complexer. We streven naar het maximaliseren van je beveiligingslaag, waardoor de kans op cyberaanvallen wordt geminimaliseerd. Dit bereik je echter niet door slechts één security-maatregel te nemen, het gaat hierbij altijd om een brede set aan maatregelen die elkaar versterken. Door gebruik te maken van het NIS2 Cybersecurity Framework zorg je er als organisatie voor dat je op alle belangrijke lagen in je organisatie beveiligingsmaatregelingen neemt.
In de NIS (en zo ook NIS2) wordt gesproken over ‘kritieke infrastructuur’. Er zijn verschillende synoniemen voor de term kritieke infrastructuur, zoals essentiële infrastructuur en vitale infrastructuur. Zoals de overheid het zelf uitlegt: ‘Bepaalde processen zijn zo essentieel voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid. Deze processen vormen de Nederlandse vitale infrastructuur. Elektriciteit, toegang tot internet, drinkwater en betalingsverkeer zijn voorbeelden van vitale processen.’
Zo zijn uiteenlopende processen aangemerkt als vitaal, echter dragen de aanbieders/organisaties er zorg voor dat de continuïteit van dit vitale proces gewaarborgd wordt. We spreken daarom dus ook over ‘vitale organisaties’. Welke organisatie vitaal zijn wordt onder de huidige wetgeving vastgesteld door vakdepartementen.
Tenslotte is er de groep Digital Service Providers (DSP’s), dit zijn online marktplaatsen, cloud services en zoekmachines. Deze Digital Service Providers zijn apart benoemd vanwege verschil in zorg- en meldplicht. Ook DSP’s vallen onder de NIS-richtlijn.
Als organisatie heb je de volgende rechten:
Naast deze rechten hebben de vitale aanbieders ook plichten. Hierin wordt onderscheid gemaakt tussen zorgplicht en meldplicht.
Het is belangrijk op te merken dat specifieke rechten en plichten kunnen variëren afhankelijk van de nationale implementatie van NIS2 in elk EU-land. Als je meer specifieke informatie nodig hebt, raden we je aan de nationale wetgeving en richtlijnen met betrekking tot NIS2 in jouw land te raadplegen.
Zoals aangegeven zitten de verschillen tussen de NIS en NIS2 op het gebied van sectoren en aanbieders, beveiligingseisen en toezichtmaatregelen. Onderstaand leggen we de verschillen kort uit.
1. Sectoren en aanbieders:
NIS1 kent twee categorieën van sectoren, namelijk de kritieke infrastructuren Digital Service Providers (DSP’s). Zoals gezegd is het aan elk lidstaat afzonderlijk overgelaten welke aanbieders (organisaties) hieronder vallen. De NIS2 hernoemt nu een aantal van deze sectoren, breidt het aantal sectoren uit en geeft sterkere richtlijnen welke aanbieders hieronder vallen. Dit betekent dat de lidstaten geen aanbieders afzonderlijk meer hoeven aan te wijzen.
In principe geldt de volgende stelregel: alle organisaties binnen een essentiële sector met een grootte van meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro wordt als essentiële aanbieder gedefinieerd. Mochten er echter organisaties zijn die binnen deze sector van essentieel belang zijn, maar minder dan 50 medewerkers en minder dan 10 miljoen omzet hebben, dan kan een lidstaat deze alsnog aanmerken als een essentiële aanbieders.
Naast de ‘essentiële sectoren’ definieert NIS2 nu een tweede categorie, de ‘belangrijke sectoren’. Het verschil tussen ‘essentieel’ en ‘belangrijk’ zit hier in de mate van toezicht. Essentiele entiteiten vallen onder proactief toezicht en belangrijke entiteiten onder reactief toezicht. Zie hieronder de NIS2-sectoren:
NIS2 gaat nog een stap verder in het vaststellen van beveiligingseisen voor essentiële en belangrijke sectoren. Hierbij is de certificering van producten, diensten en processen onder specifieke EU-cybersecurity certificatieschema’s van belang. Naast hetgeen NIS1 al voorschrijft is er een sectie opgenomen in de NIS2 (Artikel 21 van de NIS Directive) dat specifieke eisen oplegt aan organisaties die zich in de toeleveringsketen van een kritieke sector bevinden, maar ook aan het inregelen van processen met betrekking tot incident handling. Daarnaast zal ook een uitbreiding van de eisen om verplicht te melden bij een potentiële cyberdreiging opgenomen worden.
Wij begrijpen dat het voor de meeste organisaties een enorme stap is om je voor te bereiden op NIS2. Daar ondersteunen we je natuurlijk graag bij. Heb je vragen over NIS2 of wil je meer weten? Neem dan gerust contact met ons op.
Wil je direct actie ondernemen en weten hoe het gesteld is met jouw IT security? Met onze YourSecurity dienst bieden we een scala aan diensten en producten die ervoor zorgen dat je altijd en overal veilig aan het werk bent en dat je waardevolle bedrijfsdata goed geborgd is. We starten altijd met een Vulnerability Scan om de huidige situatie in kaart te brengen en komen vervolgens met een advies met bijbehorende acties om jouw IT-security naar een hoger plan te tillen.
Wil je meer informatie over YourSecurity en de bijbehorende scan lees dan deze brochure. Of neem direct contact met ons op via T. (0)88-181 1300 of info@handsonict.nl.