NIS2-checklist: hoe voldoe je aan de nieuwe wetgeving voor cyberbeveiliging?

Tijdens de internationale Cybersecurity Awareness Month wordt er, heel toepasselijk, een nieuwe regelgeving ingevoerd, de NIS2. Wat houdt deze regelgeving in? Voor wie gelden de richtlijnen? En wat moet je doen om eraan te voldoen? Daarover vertellen we je alles in dit artikel.

Wanneer de NIS2-richtlijnen niet nageleefd worden, kan je een flinke boete riskeren: maximaal 10 miljoen euro of 2% van de jaaromzet opgelegd worden.

Wat is NIS2?

De NIS2-richtlijn volgt de NIS-richtlijn op. NIS staat voor Network and Information Security en is vastgesteld door de Europese Unie (EU). De richtlijn is bedoeld om organisaties in Europese lidstaten te helpen de digitale en economische weerbaarheid te vergroten en de gevolgen van cyberincidenten te beperken. Met de komst van de NIS2 wordt de reikwijdte van de NIS-richtlijn vergroot. Er vallen nu meerdere sectoren onder. Hierover later meer.

De NIS2 is ook onderdeel van de wet Baseline Informatiebeveiliging Overheid (BIO) 2.0. Meer over deze wet en wat de invloed is op de overheid lees je in onze BIO 2.0-blogserie.

Wat is het verschil tussen de NIS2 en de Cyberbeveiligingswet (Cbw)?

De EU heeft afgesproken dat alle EU-landen een eigen vertaling maken van de NIS2 om organisaties ook op nationaal niveau de richtlijnen te laten naleven. De Cbw is een Nederlandse vertaling van de NIS2. De deadline voor deze nationale wetgeving is ook 17 oktober 2024. Nederland haalt die deadline niet, naar verwachting wordt begin 2025 de nieuwe Cyberbeveiligingswet (Cbw) van kracht.

De Cbw en NIS2 zijn dus in essentie hetzelfde.

Welke verplichtingen schrijft de NIS2-richtlijn voor?

De NIS2 schrijft drie verplichtingen voor: de zorgplicht, de meldplicht en een plicht om toezicht te houden. We lichten ze kort toe:

  • Zorgplicht Organisaties zijn verplicht om proactief maatregelen te nemen om hun netwerk- en informatiesystemen te verzekeren van een goede beveiliging. Niet alleen moet er vooraf gehandeld worden bij cyberdreigingen of incidenten, ook moeten vooraf al risicio's geïdentificeerd en aangepakt worden om deze bescherming te waarborgen. Dit wordt gedaan door risicobeheer, het nemen van preventieve maatregelen, continue monitoring op cyberdreigingen en het opstellen van een gedocumenteerd incidentsresponsplan.
    De zorgplicht is niet alleen voor organisaties zelf, de plicht gaat ook over het beschermen van de bredere digitale samenleving tegen cyberdreigingen.
  • Meldplicht Organisaties zijn verplicht om binnen een bepaalde tijd aan bevoegde autoriteiten te rapporteren wanneer er significante cyberincidenten plaatsvinden. Dit wordt gedaan door binnen de eerste 24 uur tijdig een melding in het Computer Security Incident Response Team (CSIRT) te maken en een voorlopig rapport op te stellen met basisinformatie over het incident. Binnen 72 uur moet een gedetailleerd rapport worden gemaakt en er moeten tussentijdse updates gegeven worden. De meldplicht geldt voor alle sectoren die betrokken zijn bij het incident.

    Hiermee moet de respons op cyberdreigingen worden verbeterd en daarbij ook de samenwerking en informatie-uitwisseling tussen organisaties en overheidsinstanties. Overheden zijn zo beter in staat om (inter)nationale cyberdreigingen op te sporen en aan te pakken.
  • Toezicht Er moet adequaat toezicht worden gehouden op organisaties die onder de NIS2 vallen. Dit wordt gedaan door in elk EU-land een toezichthoudende autoriteit aan te wijzen die hiervoor verantwoordelijk is. Organisaties die onder de NIS2 vallen zullen regelmatig audits, inspecties of evaluaties van toezichthoudende instanties ondergaan. Wanneer een organisatie niet voldoet aan de eisen van de NIS2, mogen de bevoegde organisaties sancties opleggen. De toezichthoudende instanties moeten proactief werken om risicovolle situaties of trends in de beveiliging te identificeren.

    De plicht op toezicht helpt cyberveiligheid te versterken en dreigingen op Europees niveau af te weren.
Visuele samenvatting: Wat is de NIS2? Kopregel: NIS2 (EU) is Cbw (NL). Volgende regel: Waarom? Meer economische weerbaarheid. Minder cyberincidenten. Verplichtingen zijn de zorgplicht: proactief maatregelen voor beveiliging. Meldplicht: cyberincidenten rapporteren. Toezicht: inspecties en audits foor toezichthouders ondergaan.
Visuele samenvatting: Wat is de NIS2?

Risico's niet naleven van de Cyberbeveiligingswet

Wanneer de NIS2-richtlijnen niet worden nageleefd, vergroot dit de kans op cyberaanvallen. Cyberaanvallen kunnen financiële schade en verminderde productiviteit tot gevolg hebben. Een groter risico nog: het kan leiden tot ernstige risico's voor de maatschappij. Daarom is het zo belangrijk om de richtlijnen van de wet goed na te leven. Doet een organisatie dit niet, kan deze een flinke boete riskeren: maximaal 10 miljoen euro of 2% van de jaaromzet voor organisaties die een 'essentiële entiteit' zijn en maximaal 7 miljoen euro of 1,4% van de jaaromzet voor organisaties die een 'belangrijke entiteit' zijn. Over deze entiteiten leggen we hieronder meer uit.

Voor wie geldt de NIS2?

Met de invoering van de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet, wordt de lijst met organisaties waarop de regels van toepassing zijn groter. In plaats van alleen 'kritieke sectoren' wordt er nu onderscheid gemaakt tussen ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’.

  1. Zeer kritieke sectoren
    • Energie
    • Transport
    • Bankwezen
    • Infrastructuur financiële markt
    • Gezondheidszorg
    • Drinkwater
    • Digitale infrastructuur
    • Beheerders van ICT-diensten
    • Afvalwater
    • Overheidsdiensten
    • Lokale overheden
    • Ruimtevaart
  2. Andere kritieke sectoren
    • Digitale aanbieders
    • Post- en koeriersdiensten
    • Afvalsstoffenbeheer
    • Levensmiddelen
    • Chemische stoffen
    • Onderzoek
    • Vervaardiging/manufacturing

Valt mijn organisatie onder de NIS2-richtlijn?

Om te weten of je organisatie onder de NIS2-richtlijn valt, moet je eerst dus bepalen of deze in een 'zeer kritieke sector' of 'andere kritieke sector' valt. Vervolgens kijk je hoe groot de organisatie is.

  • Grote organisatie Heeft minimaal 250 werkzame personen of een jaaromzet van 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
  • Middelgrote organisatie Heeft minimaal 50 werkzame personen of een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro.
  • Micro- en kleinbedrijven (MKB’s) Vallen in principe dus niet onder de NIS2-richtlijn.

Wanneer bepaald is in welke sector je organisatie valt en hoe groot deze is, is er nog een derde categorie om de organisaties in toe te wijzen: ‘essentiële entiteit’ of ‘belangrijke entiteit’.

  • Essentiële entiteit Een grote organisatie die valt in de ‘zeer kritieke’ sector. Je krijgt vaker te maken met proactieve controles in de vorm van audits en inspecties. Ook gelden hier soms strengere regels voor.
  • Belangrijke entiteit Een middelgrote organisatie die valt in de ‘zeer kritieke sector’ of de ‘andere kritieke sector’. Er wordt alleen een controle gedaan bij een vermoeden van het niet-naleven van de wet.
Flowchart: Valt mijn organisatie onder de NIS2-richtlijn?
Flowchart: Valt mijn organisatie onder de NIS2-richtlijn?

NIS2 en de overheid: uitzonderingen

Er gelden een aantal uitzonderingen voor de sector Overheid. Alle overheidsorganisaties - groot, middelgroot, micro/klein - zijn standaard gelabeld als 'essentiële entiteit'. Dit zijn in elk geval ministeries, provincies, gemeenten en waterschappen. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen hangt het er per geval vanaf of deze als ‘essentiële entiteit’ wordt beschouwd.

Er zijn ook een aantal overheidsinstanties uitgesloten van het toepassen van de NIS2/Cbw. Het gaat hierbij om instanties die hoofdzakelijk werkzaam zijn op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Kortom, instanties die strafbare feiten voorkomen, onderzoeken, opsporen en vervolgen.

Checklist implementatie NIS2

Wanneer je organisatie voorheen al onder de NIS-richtlijn viel, verandert er niet veel. Bedrijven en organisaties die nu wel onder de NIS2-richtlijn vallen, hebben met grotere veranderingen te maken. We hebben ze op een rijtje gezet in een handige checklist.

  • Risicobeheer Voer regelmatig risicobeoordelingen uit, identificeer, analyseer en evalueer de cyberbeveiligingsrisico's, prioriteer beveiligingsinspanningen en zet hier de juiste middelen op. Hiermee voldoe je aan het belangrijkste doel van de NIS2-richtlijn: risicomanagement.
  • Incidentrespons Ontwikkel en onderhoud een gedetailleerd plan voor het detecteren, reageren op en herstellen van cybersecurity-incidenten. Dit zorgt voor een snelle en effectieve respons op incidenten en minimaliseert de impact. Hiermee voldoet je organisatie aan de incidentafhandelingsvereisten van NIS2.
  • Toegangscontrole Implementeer sterke authenticatiemethoden en pas het principe van minimale rechten toe door controle te houden op wie toegang heeft tot welke accounts. Dit sluit aan bij de focus op netwerk- en informatiesysteembeveiliging van de NIS2.
  • Beveiliging van netwerk- en informatiesystemen Voer regelmatige beveiligingsaudits en penetratietests uit, implementeer preventieve bescherming tegen interne en externe aanvallen en zorg voor adequate gegevensbescherming (cryptografie, encryptie). Simuleer bijvoorbeeld een cyberaanval om kwetsbaarheden te identificeren en de effectiviteit van beveiligingsmaatregelen te testen, ter ondersteuning van voortdurende verbetering zoals de NIS2 vereist.
  • Beheer van toeleveringsketen Beoordeel en beheer cyberbeveiligingsrisico's van leveranciers en dienstverleners, identificeer en documenteer kritieke diensten van leveranciers en zorg dat contracten met leveranciers beveiligingsbepalingen bevatten. Ook dit sluit aan bij het doel risicobeheer van de NIS2.
  • Training en bewustwording Door regelmatige cyberbeveiligingstrainingen aan medewerkers te geven en nieuwe medewerkers een onboarding training te geven, speel je in op risicobeperking. Ook het continu informeren van je medewerkers over interne regelgeving en nieuws sluit aan bij de vereisten van risicomanagement van de NIS2.
  • Asset management Creëer een uitgebreide inventaris van alle IT-activa en systemen en houd dit regelmatig bij. Dit biedt inzicht in hoeverre je organisatie risico loopt op een cyberaanval en ondersteunt effectief risicobeheer zoals de NIS2 vereist.
  • Kwetsbaarheidsbeheer Implementeer een programma om systematische kwetsbaarheden te identificeren, beoordelen en verhelpen. Voer regelmatig onderhoud uit aan software, hardware en IT-infrastructuur. Door proactief mogelijke beveiligingszwaktes aan te pakken, wordt voldaan aan de eisen van risicobeheer van de NIS2.
  • Gegevensbescherming en privacy Ontwikkel een beleid voor informatiebeheer en wachtwoordgebruik, maak gebruik van versleutelings-, classificatie- en verwerkingsmethoden om gevoelige informatie te beschermen. Hiermee ondersteun je de naleving van zowel de NIS2 als andere regelgevingen zoals de AVG.
  • Monitoring en rapportage Implementeer een continue monitoring en rapportage van systemen. Definieer belangrijke prestatie-indicatoren (KPI’s) voor cybersecurity. Hiermee krijgt je organisatie ook inzicht op welke informatie toezicht gehouden moet worden door het management en wordt het gemakkelijker om potentiële incidenten aan de autoriteiten te rapporteren, zoals de NIS2 vereist.

Welke SaaS-software voldoet aan de NIS2?

Het belangrijkste onderdeel van een succesvol ICT-project is het selecteren van de juiste partner, die op de hoogte is van alle wetgevingen rondom cyberveiligheid, zoals de NIS2 en de Cbw. Daarbij wil je kiezen voor een partner die niet alleen met ideeën komt, maar ook aangeeft hoe je het project operationeel maakt.

Atabix heeft meer dan 30 jaar ervaring als softwareleverancier en kennispartner voor de overheid. Met Atabix Zaakgericht Werken bieden we een totaaloplossing waarbij het Atabix Zaaksysteem de ruggengraat vormt waaraan diverse applicaties zijn gekoppeld.

Zo maak je gebruik van één of meerdere gestandaardiseerde producten die naadloos op elkaar aansluiten. Denk aan Atabix Mijn Portaal en Atabix Formulieren. Deze zijn eenvoudig te koppelen aan het Atabix Zaaksysteem. Op deze manier handelt jouw overheidsorganisatie efficiënt en gestructureerd individuele zaken af.