NIS2 liveblog - continue updates!
IT Security
Bekijk regelmatig dit blog over NIS2, waar we continu content beschikbaar maken over wat deze richtlijn voor jouw organisatie betekent. Bovenaan deze pagina vind je structureel de nieuwste updates en duiding vanuit Previder. Als CISM bij Previder help ik je graag met vraagstukken rondom NIS2. Neem contact met mij op als je vragen hebt.
Update vrijdag 09-08-2024: Voorsorteren op NIS2: deze tien punten moet je op orde hebben
Naar verwachting zal in 2025 de NIS2 in werking treden. Deze Europese richtlijn is opgesteld om de cyberbeveiliging te verbeteren, met name waar het gaat om diensten die cruciaal zijn voor de continuïteit van de samenleving. In Nederland wordt de NIS2 geïmplementeerd in de vorm van de Cyberbeveiligingswet. Hoewel deze wet momenteel nog in ontwikkeling is, adviseert de overheid organisaties nu al actie te ondernemen. In deze blog geef ik je een beknopt overzicht van 10 punten die je in ieder geval op orde moet hebben om aan de NIS2 te voldoen.
Voorsorteren op NIS2: deze tien punten moet je op orde hebben
Update vrijdag 08-03-2024: Implementatie van NIS2-wet in NL wordt niet gehaald. Nieuwe datum onbekend.
Het is duidelijk dat de consultatieronde in juni van dit jaar niet gehaald wordt. Op 17 oktober 2024 zou de wet zijn intrede doen, maar deze datum zal daardoor ook niet gehaald worden. Dit is de conclusie van de brief die eind februari naar de Tweede Kamer gestuurd is. Een nieuwe deadline is nog niet bekend.
Vanuit andere EU-lidstaten wordt er vooralsnog niets gemeld over het niet halen van de deadline. En de intreding van deze nieuwe Europese wet wordt natuurlijk niet uitgesteld alleen omdat Nederland haar zaakjes niet tijdig voor elkaar heeft. Ons advies is daarom om alle informatie over de NIS2-wet die nu beschikbaar is, te gebruiken om je erop voor te bereiden. Daar kom je een heel eind mee.
Om je hiermee te kunnen helpen, heeft de overheid een quick scan gemaakt op basis van 40 vragen. Hiermee krijg je inzicht of en in welke mate je voldoet aan de 15 hoofdlijnen uit de wet. Deze zijn redelijk concreet gemaakt en je krijgt er de juiste tips/handvatten in mee. Heb je ondersteuning nodig? Previder kan je natuurlijk hierbij helpen!
Update donderdag 19-10-2023: Let op! Ook organisaties die geen 'belangrijke' of 'essentiële' entiteit zijn, kunnen met NIS2 te maken krijgen
Of jouw organisatie onder 'belangrijke' of 'essentiële' entiteit valt, hebben we in de vorige update besproken (scroll naar beneden). Daar staat een checklist die je helpt te bepalen of jouw organisatie dus met NIS2 te maken krijgt of niet. De overheid heeft ondertussen een website waarop je een zelf-evaluatie kunt doen, om te bepalen of jouw organisatie onder de NIS2 zal vallen. Deze test kun je hier doen: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/. Maar let op! Komt daaruit dat jouw organisatie niet onder de 'belangrijke' of 'essentiële' entiteiten valt? Dan nóg kan jouw organisatie te maken krijgen met de wetgeving NIS2. We leggen je dit uit in deze nieuwe update.
De NIS2 richt zich op de hele toeleveringsketen. Ook organisaties (entiteiten) die zelf niet onder 'kritisch' of 'essentieel' vallen, maar wel zaken doen met deze partijen, krijgen dus indirect zeker met de NIS2 te maken. Zelfs de kleinere toeleveranciers kunnen hierdoor te maken krijgen met de verplichtingen van de NIS2-richtlijn. Dit valt onder artikel 21, sub. 2.
...bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en omvatten ten minste het volgende:
- d) de beveiliging van de toeleveringsketen, met inbegrip van beveiliging gerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
Ons advies is om nu alvast jezelf en binnen jouw organisatie de volgende vragen te stellen:
- Wie zijn mijn klanten en toeleveranciers?
- In welke mate loop ik de kans dat er voorwaarden door deze (keten)organisaties gesteld gaan worden over onze dienstverlening, ook al valt mijn organisatie niet onder de NIS2?
In de lijst met punten (zie de update hieronder, van 28-08-2023) kun je alvast afvinken of je in grote lijnen aan bepaalde richtlijnen voldoet of niet. Van het resultaat bij het wel/niet afvinken krijg je zelf een onderbuikgevoel met betrekking tot waar je ongeveer staat en kun je alvast voorsorteren op de eventuele impact en acties die nog moeten gebeuren.
Hulp nodig? Wij denken graag met je mee. Stuur even een mail naar Marco Vader, CISM bij Previder: m.vader@previder.nl.
Update maandag 28-08-2023: Wat is NIS2 en wie moet er wat mee?
COVID-19, de oorlog in Oekraïne en een toename van cyberdreigingen. Zomaar een greep uit waar we de afgelopen jaren mee te maken hadden. Daarom heeft de Europese Unie gewerkt aan de Network and Information Security directive (NIS2). Deze is erop gericht de digitale en economische weerbaarheid van Europese lidstaten te verbeteren. De NIS2-richtlijn focust zich op risico's die netwerk- en informatiesystemen bedreigen en is de opvolger van de eerste NIS-richtlijn (NIB), die in 2016 in ons land is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Wanneer is de NIS2-richtlijn van kracht?
Alle Europese lidstaten, dus ook Nederland, hebben tot eind 2024 om de NIS2-richtlijn op te nemen in de nationale wetgeving. Aan de concrete vertaling naar Nederlandse wetgeving wordt op dit moment gewerkt. Dit najaar kan er feedback worden gegeven op de wet- en regelgeving, wat betekent dat er dan dus ook meer bekend zal worden over de inhoud. Klik hier voor de volledige NIS2-tijdlijn.
Hoeveel weten we al over wat er in de NIS2-richtlijn staat?
We weten dat er een zorgplicht en meldplicht komt. Daarnaast komen organisaties die onder de richtlijn vallen onder toezicht te staan.
- Zorgplicht: deze verplicht entiteiten zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht: entiteiten moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht: Er wordt gekeken naar e naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Welke sectoren onder welke toezichthouder komen te vallen, wordt nog bekendgemaakt.
Voor wie geldt de NIS2-richtlijn?
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de onderstaande sectoren en volgens de criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
1. Essentiële entiteiten
Dat zijn grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie tabel). Een organisatie is groot op basis van de volgende criteria:
- minimaal 250 werknemers of;
- een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
2. Belangrijke entiteiten
Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2. Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet en balanstotaal van meer dan € 10 miljoen.
Kun je al iets doen om je voor te bereiden op de NIS2?
Het Nationaal Cyber Security Centrum (NCSC, onderdeel Ministerie van Justitie en Veiligheid) geeft al tips om je voor te bereiden op NIS2. Zo is er een lijst met basismaatregelen die iedere organisatie zou moeten treffen om cyberaanvallen tegen te gaan. Daaronder valt o.a.:
- Het inrichten van risicomanagement
- Toepassen van sterke authenticatie
- Rolgebaseerde toegang tot data en diensten
- Bescherming tegen verlies van gegevens
- Loginformatie centraliseren en analyseren
Bekijk hier de volledige lijst. Daarnaast geven ze aan dat er gedacht moet worden aan:
- Inventariseren en analyseren van risico’s
- Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
- Identificeren van alternatieve toeleveringsketens
- Bewustwording van personeel van risico’s en te nemen maatregelen
Meer weten over IT security?