Blog
Eind 2024 moet NIS2, de nieuwe Europese ‘Network and Information Security’-richtlijn, zijn opgenomen in Nederlandse wetgeving. Internetveiligheid is steeds crucialer. Daarom wordt de bestaande wet aangescherpt met strengere eisen en uitgebreid naar meer bedrijfssectoren. We vroegen Cyso-salesmanager Martijn Baars naar de impact en hoe je je nu al kunt voorbereiden. Onder andere met risicomanagement en een SIEM/WAF-oplossing.
Allereerst, Martijn, wat is NIS2?
“NIS2 is een Europese richtlijn voor internetbeveiliging van netwerk- en informatiesystemen. Het is de opvolger van de eerste NIS-richtlijn, die in Nederland in 2016 is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
NIS2 gaat vooral om de beveiligingsrisico’s die organisaties lopen en hoe je daarmee om moet gaan. De samenleving wordt steeds digitaler. Dat betekent ook dat de cyberdreiging toeneemt.
Het hogere doel van NIS2 is om bedrijven en organisaties digitaal weerbaar te maken, cybersecurity te vergroten en zo de samenleving beter te beschermen tegen internetcriminaliteit. Niet alleen in Nederland, maar over de hele Europese Unie.”
NIS2 geldt voor meer bedrijven dan NIS1. Hoe zit dat?
“NIS2 geldt inderdaad voor veel meer sectoren dan NIS1. Dat is meteen een van de grote verschillen met de bestaande wetgeving.
In NIS2 is je bedrijf sneller essentieel of belangrijk dan je misschien verwacht.
NIS1 geldt al voor zeer kritieke, ‘essentiële’ sectoren als energie, transport en financiën, en voor de digitale dienstverlening. De EU heeft nu een aantal andere kritieke sectoren toegevoegd onder de noemer ‘belangrijke’ sectoren. Je ziet de sectoren in het overzicht hieronder.
Voor beide sectoren gelden dezelfde eisen voor cybersecurity-maatregelen en rapportage, alleen vallen essentiële sectoren onder strengere regels voor toezicht en handhaving.”
De organisaties die onder de NIS2-richtlijn vallen behoren tot de volgende sectoren:
Je hebt het over essentiële en belangrijke sectoren. Gaat NIS2 dan alleen gelden voor grote bedrijven?
“Nee, integendeel. Ook dat is een groot verschil ten opzichte van NIS1. NIS2 is niet langer beperkt tot grote ondernemingen. Je bent sneller essentieel of belangrijk dan je denkt. SaaS-bedrijven die via cloudinfrastructuur diensten aanbieden vallen eronder. Gezondheidsorganisaties of aanbieders van diensten in de gezondheidszorg, fintech-bedrijven die bijzondere persoonsgegevens verwerken.
Er is wel een onderscheid. Je bedrijf is essentieel vanaf 250 werknemers of een jaaromzet vanaf 50 miljoen euro. Je valt onder ‘belangrijk’ als je middelgroot bent. Dat betekent meer dan 50 medewerkers of een jaaromzet vanaf 10 miljoen euro.
Nog een verschil is de ketenverantwoordelijkheid: het effect van de wet op de héle keten. Valt jouw organisatie onder NIS2? Dan moeten ook je toeleveranciers hun internetveiligheid op orde hebben. In dat geval geldt de nieuwe wet dus ook voor kleinere mkb-bedrijven.”
NIS2 heeft effect op de hele keten. Dus ook als je toeleverancier bent van een organisatie die essentieel of belangrijk is.
Welke verplichtingen zijn er vanuit NIS2?
“De belangrijkste verplichtingen in NIS2 zijn de zorgplicht en de meldplicht. Zorgplicht houdt in dat je als bedrijf verplicht bent zelf een risicoanalyse uit te voeren en passende maatregelen te nemen om je netwerk en informatie te beschermen en je continuïteit te waarborgen. Dit moet je kunnen aantonen.
In artikel 21 benoemt de NIS2-richtlijn wel specifieke maatregelen waaraan je minimaal moet voldoen. Bijvoorbeeld over risicoanalyse en securitybeleid, toegangsmanagement, back-up- en herstelbeheer, versleuteling, enzovoorts.
Daarnaast is er een meldplicht. Incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder. Daar zitten wel criteria aan zoals het aantal personen dat is getroffen, hoe lang de verstoring duurt en wat de impact is. De overheid heeft een coördinerende rol om vanuit de meldingen informatie te delen en te waarschuwen.”
Je had het eerder al over toezicht en handhaving. Hoe zit het met de naleving van de wet en eventuele boetes?
“Bedrijven en organisatie moeten in eerste instantie zelf beoordelen of ze onder de NIS2-richtlijn vallen. Er is geen verplichte aanwijzing of registratie door de overheid.
NIS2 legt wel toezicht en handhaving vast. Hier komt weer het verschil tussen essentieel en belangrijk naar voren. Essentiële bedrijven worden actief geaudit op hun securitystrategie. Belangrijke bedrijven alleen als er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de NIS2-verplichtingen.
Ben je bewust of onbewust nalatig? Dan zijn de boetes niet mals. Voor essentiële organisaties kan het oplopen tot 10 miljoen; voor belangrijke bedrijven tot 7 miljoen. Ook nieuw is dat bestuurders in essentiële sectoren hoofdelijk aansprakelijk kunnen worden gesteld, als zij de zorgplicht niet nakomen.”
NIS2 is nu nog een papieren richtlijn. Hoe zie jij je de vertaling naar de praktijk?
“NIS2 gaat vooral om risicomanagement. Welke mogelijke cyberbedreigingen en -risico’s loopt jouw bedrijf en welke minimale maatregelen neem je om die te voorkomen? En word je toch slachtoffer, hoe zorg je dan dat je de schade beperkt, goed herstelt en snel weer verder kunt? Dat alles moet je kunnen aantonen.
Een goede leidraad voor risicobeoordeling die wij zelf gebruiken is het NIST Security Framework. Niet te verwarren met de NIS2-richtlijn natuurlijk. Met dit Framework kun je nu meteen al aan de slag. De vijf fasen in het Framework, Identify, Protect, Detect, Respond, Recover, geven houvast om je securitystrategie vorm te geven en je digitale weerbaarheid te vergroten.”
Leeft NIS2 al in de markt?
“Nog niet bij alle bedrijven even actief, maar ik maak het wel bespreekbaar. Iedereen weet dat de nieuwe wet eraan komt, maar velen denken dat die niet op hen van toepassing is. Ze zien zichzelf niet als essentieel of belangrijk bedrijf.
Toch zijn veel van onze klanten en prospects dat weldegelijk. Als SaaS-bedrijf, fintech of in de gezondheidszorg verwerk je bijzondere persoonsgegevens en ben je al snel een digitale aanbieder of ben je een toeleverancier.”
Als SaasS-bedrijf, fintech of in de gezondheidszorg ben je al snel een digitale aanbieder of toeleverancier.
Wat kun je als bedrijf nu al doen om digitaal weerbaarder te worden volgens NIS2?
“Het Nationaal Cyber Security Centrum (NCSC) heeft een aantal maatregelen op een rij gezet als basis voor een cybersecurity-aanpak. Van daaruit kun je verder bouwen.
Basismaatregelen
Eigenlijk precies wat wij zelf doen bij onze klanten en waar we traditioneel sterk in zijn. Beoordeel de risico’s voor je organisatie. Neem passende maatregelen om je netwerk en je applicatie en data te beschermen tegen cyberaanvallen. Koppel dat vervolgens aan een risicogebonden opvolging, bijvoorbeeld met WAF/SIEM-oplossing.”
Wat is jouw advies over NIS2 voor bedrijven ?
“Ik zou zeggen: wacht zeker niet tot 2024 om je internetbeveiliging op orde te krijgen. 30% van het internetverkeer is kwaadaardig van aard. Digitale veiligheid mag dus nooit afhankelijk zijn van een wettelijke verplichting. De wet is alleen maar de bekende stok achter de deur.
Het is wel goed om nu al na te gaan of je bedrijf onder NIS2 valt; direct als essentieel of belangrijk bedrijf, of indirect als ketenleverancier. Maar los daarvan: maak in ieder geval een risicoanalyse, zorg dat je basissecuritymaatregelen op orde zijn en zet een herstelstrategie op.”
Hulp bij cybersecurity en NIS2
Wil je sparren of kom je er niet uit? Wij helpen je graag met praktische oplossingen. Als oudste onafhankelijke hostingprovider van Nederland weten we alles over digitale veiligheid. Al meer dan 25 jaar.