Ontwikkelingen omtrent NIS2

De NIS2-richtlijn is een initiatief van de Europese Unie dat de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten beoogt te verbeteren. Deze richtlijn, die momenteel in Nederlandse wetgeving wordt omgezet, is een uitbreiding van de eerdere NIS-richtlijn en omvat meer sectoren, stelt strengere beveiligingsnormen en introduceert meldingsvereisten voor incidenten. Geen verrassing dus dat het in menig directie overleg een belangrijk onderwerp geworden is.

Belangrijkste ontwikkelingen:

Uitgebreide sectorale dekking:
De NIS2-richtlijn gaat gelden voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij zoals gezondheidszorg, transport, energieaanbieders, overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders.
Verplichtingen en toezicht:
Onder de NIS2-richtlijn zijn entiteiten verplicht om een risicobeoordeling uit te voeren en op basis daarvan passende maatregelen te nemen om hun diensten en informatie te beschermen. Incidenten die de dienstverlening sterk (kunnen) verstoren moeten binnen 24 uur bij de toezichthouder worden gemeld. De NIS2-richtlijn voorziet ook in toezicht op de naleving van de verplichtingen uit de richtlijn door een onafhankelijke toezichthouder.
Overgang naar nationale wetgeving:
De EU heeft de NIS2-richtlijn vastgesteld en deze wordt nu vertaald naar Nederlandse wetgeving, waarbij details worden uitgewerkt over welke organisaties onder de richtlijn vallen en wat de exacte verplichtingen zullen zijn.

Informatiesessies en voorbereiding

OpenSight organiseert verschillende informatie sessies waarin dieper ingegaan wordt op hoe de wetgeving in elkaar zit en hoe het correspondeert met andere frameworks zoals BIO, ISO27001, NEN7510 en NIST. De verplichtingen van de NIS2-richtlijn zijn in grote mate in lijn met bestaande kaders voor informatiebeveiliging, wat een interessant aanknopingspunt biedt. OpenSight zal deze sessie beginnen te organiseren in het eerste kwartaal van het nieuwe jaar. Een uitnodiging ontvangen wanneer de datum van deze sessie bekend is?

Klik hier om je interesse door te geven.

Vanuit onze ervaring met het implementeren van kaders, is het goed tijdig te beginnen met de voorbereidingen. Een gemiddelde organisatie heeft ongeveer 12 maanden nodig om een nieuw kader zodanig te implementeren dat het goed functioneert en onderdeel is van de dagelijkse gang van zaken.

NIS2 verplichtingen

De NIS2-richtlijn legt diverse verplichtingen op aan entiteiten om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te versterken. Een kernverplichting is de zorgplicht, waarbij entiteiten worden verplicht om zelf een risicobeoordeling te verrichten en op basis daarvan passende maatregelen te nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

Verder introduceert de richtlijn een meldplicht voor incidenten. Entiteiten moeten incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren binnen 24 uur bij de toezichthouder melden. Cyberincidenten moeten ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden, welke vervolgens hulp en bijstand kan leveren. De factoren die een incident meldingswaardig maken, omvatten bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Tenslotte schrijft de NIS2-richtlijn toezicht voor op organisaties die onder de richtlijn vallen. Er zal een onafhankelijke toezichthouder worden aangesteld om de naleving van de verplichtingen uit de richtlijn te controleren, zoals de zorg- en meldplicht. De exacte invulling van het toezicht, inclusief welke toezichthouder verantwoordelijk zal zijn voor de sector overheid, wordt nog nader bepaald, met de intentie om gebruik te maken van bestaande verantwoordingsstructuren en te streven naar harmonisering van deze structuren.