Een overzicht van de nieuwe Europese cybersecuritywetgeving
Samenvatting
Nog een jaar te gaan voordat de NIS2-wetgeving in werking treedt. Het is belangrijk om de basisprincipes ervan te begrijpen. NIS2 staat voor de tweede richtlijn over de Beveiliging van Netwerk- en Informatiesystemen. Het is Europese wetgeving die gericht is op het waarborgen van de cybersecurity in vitale sectoren en digitale dienstverleners. Deze “directive” moet op 24 oktober 2024 omgezet zijn in lokale wetgeving. In deze blog een samenvatting voor wie de wetgeving geldt, welke verplichtingen en gevolgen er zijn, welke maatregelen er moeten worden genomen.
Voor wie geldt NIS2?
Lees deze paragraaf in ieder geval even helemaal (en de laatste).
In de basis vallen organisaties onder NIS2 wanneer er 50 of meer medewerkers zijn óf een jaaromzet van meer dan 10 miljoen is én de organisatie zit in één van de 18 sectoren die zijn aangeduid. “In de basis”, want ook wanneer je “kleiner” bent kan je onder deze regulering vallen. Ketenverantwoordelijkheid is namelijk een belangrijk gegeven in de NIS2. Dus wanneer een organisatie moet voldoen aan NIS2, moeten ook de toeleveranciers aan NIS2 gaan werken. Hetgeen de olievlek aanzienlijk groter gaat maken. En dan nog als laatste; de overheid kan organisaties (micro-, klein- en middenbedrijven) ook aanwijzen om aan NIS2 te moeten gaan voldoen om redenen van maatschappelijk of economisch belang.
De aangewezen sectoren hebben een belangrijke rol in onze samenleving en economie, en het is van vitaal belang dat hun netwerk- en informatiesystemen goed beveiligd zijn. Iedere sector is verdeeld twee categorieën: “Essentieel” en “Belangrijk”. De “Essentiele” categorie val je automatisch onder bij 250 of meer medewerkers of een omzet van meer dan 50 miljoen. Bedrijven in deze categorie ontwrichten de maatschappij aanzienlijk wanneer deze niet meer functioneel zijn. Daarom krijgen zij pro-actief toezicht op de naleving van de verplichtingen in NIS2. Alle organisaties hieronder (maar boven de minimale grens) vallen onder “Belangrijk”. Alleen bij aanwijzingen op het niet naleven van de NIS2 verplichtingen, zal de toezichthouder actie ondernemen.
Verplichtingen en rechten
Laat ik met het leukste beginnen:
De Rechten
In NIS2 wordt duidelijk gesteld dat de lidstaten ondersteuning moeten bieden aan organisaties in het verbeteren van hun Cyber hygiëne. Inhoudelijk betekent dat er advies beschikbaar moet zijn en bijstand beschikbaar is bij incidenten. Dat zal vooral digitaal ingevuld gaan worden voor het gros van de organisaties is mijn inschatting. Echte fysieke en directe ondersteuning zal vooral beschikbaar gemaakt worden voor de grote(-re) en “Essentiele” organisaties. De toezichthouders en andere overheidsinstanties zijn druk bezig om dit op te tuigen.
Zorgplicht
Organisaties zijn verplicht zelf een risicoanalyse te doen. En aan de hand van de resultaten maatregelen door te voeren om deze risico’s te accepteren, te verkleinen of zelfs weg te nemen. Er wordt verwacht dat men de eigen infrastructuur in een 24/7 proces in de gaten houdt op het voorkomen van en het acteren op incidenten.
Meldplicht
Organisaties die onder NIS2 vallen zijn verplicht om incidenten die de essentiële dienstenverlening (behoorlijk) kunnen verstoren, binnen 24 uur te melden aan de toezichthouder met een uitgebreide rapportage binnen 72 uur. Aan de meldplicht van een incident zijn bepaalde parameters gekoppeld bijvoorbeeld de gradatie van impact of de (geschatte) duur.
Toezicht
Alle NIS2 organisaties krijgen een toezichthouder. Er komen toezichthouders per sector of per aantal sectoren. Welke instanties dat gaan doen is nu nog niet duidelijk. De RDI https://www.rdi.nl/ zal zeker een rol gaan spelen.
Maatregelen en consequenties (boetes)
De toezichthouder krijgt een arsenaal aan mogelijkheden mee om toezicht te gaan houden. On-site onderzoek, rapportages, audits tot directe toegang tot gegevens. De boetes en andere consequenties / straffen hebben een richtlijn/bandbreedte meegekregen vanuit de EU. Iedere lidstaat heeft een bepaalde vrijheid zolang de maatregelen maar “afschrikwekkend” zijn.
Dan komen we automatisch bij de boetes en de aansprakelijkheid. Want geheel nieuw in de NIS2, is de aansprakelijkheid van het management, directie en bestuur. Deze moeten ervoor zorgen dat de onderneming voldoet aan NIS2, de medewerkers daarin meegenomen zijn en de infrastructuur (of liefst meer dan) voldoet. Wanneer er echter door de toezichthouder een nalatigheid wordt geconstateerd, kan management, directie en bestuur hoofdelijk aansprakelijk gesteld worden. De boetes zijn vastgesteld op maximaal 10 miljoen of 2% van de wereldwijde omzet, afhankelijk wat hoger is. Daarnaast kunnen ook strafrechtelijke wegen bewandeld worden.
Naleving van NIS2
Om te voldoen aan de NIS2-wetgeving moeten organisaties enkele belangrijke maatregelen nemen. In grote lijnen:
- Een risicoanalyse uitvoeren om de kwetsbaarheden en bedreigingen voor het netwerk- en informatiesystemen (data) te identificeren en te monitoren.
- Passende technische en organisatorische maatregelen (processen) implementeren om deze risico’s te verminderen.
- Een adequaat incidentresponsplan opstellen en dit regelmatig testen.
- Samenwerken en informatie delen met andere relevante actoren in de sector.
Tot slot
Maar laten we eerlijk zijn… NIS2 moet door iedereen omarmt worden. En wellicht komt er een NIS3 die dat gaat opleggen. Laten we daar niet met zijn allen op gaan wachten. Een goede Cyber hygiëne is gewoon heel belangrijk, zonder IT ligt de BV Nederland plat.
We kijken allemaal naar de THT als we vlees kopen. Electrische apparaten zonder een CE-kenmerk zijn gewoon niet veilig. En als we ons huis verlaten doen we de gordijnen dicht, alarm aan en de ramen en deuren op slot. Dus waarom ook niet de IT van het bedrijf aanpakken?
De IT is het bloedvaten systeem van je organisatie. En, door de slechte hygiëne zijn de Cyber Boeven succesvol. Zo succesvol al dat er in Cyber Crime meer geld omgaat dan in de drugshandel.
Een ander praktisch element van de invoering van de NIS2 dat niet onderschat moet worden, is het “waterbed-effect”. Cyber Boeven gaan voor de combinatie “makkelijk en voldoende”. Denk aan een wijk met huizen. Als al deze huizen opeens voorzien worden van camera’s en beveiligingssystemen, gaan de inbrekers gewoon naar een andere wijk. Dus als op 24 oktober 2024 NIS2 actief is en alle organisaties die onder NIS2 vallen hun Cyber weerbaarheid aanzienlijk hebben verhoogd, waar gaan die Cyber Boeven dan kijken?
AutomateX richt zich met name op het klein bedrijf als hun eigen IT Afdeling. Waarom zijn wij dan zo met NIS2 bezig? Onze ervaring is dat het klein bedrijf grote moeite heeft om de ontwikkelingen bij te houden en er invulling aan te geven. Goed en inhoudelijk advies is moeilijk te vinden omdat heel veel ICT bedrijven zich richten op de grotere broeders en zusters met de geboden oplossingen en financiën . AutomateX past perfect in het plaatje voor het klein bedrijf en is daarom een goede gesprekspartner.
Het is onze intrinsieke overtuiging dat een goede Cyber Hygiene het aller belangrijkste is. Een goede ICT infrastructuur kost geld. Maar hoeveel kost een slechte infrastructuur? Veel meer en dat gaat breder dan alleen de centen. Een goede infrastructuur geeft ook een beduidend hogere Cyberweerbaarheid en een veel hogere kans om het bedrijf voort te zetten na een mogelijk incident. Want dat er een incident gaat komen is zeker. Het wanneer is de vraag.
Meer weten? Maak een vrijblijvende telefonische afspraak van 15 minuten om even kennis te maken en wellicht een vervolg afspraak.
