NIS2 - De nieuwe cybersecuritywetgeving voor de beveiliging van netwerk- en informatiesystemen

  • King Fai Yan
  • vrijdag 3 juni 2022 om 15:04

Op 13 mei 2022 hebben de Raad van de Europese Unie en het Europees Parlement een akkoord bereikt over de maatregelen van de NIS2-ontwerprichtlijn. De NIS2-richtlijn moet de huidige NIS1-richtlijn uit 2016 vervangen die betrekking heeft op de beveiliging van netwerk- en informatiesystemen van specifieke organisaties in bepaalde sectoren. Door de toenemende mate van digitalisering, opkomende technologieën en nieuwe trends op mondiaal niveau, is een herziening van de wet- en regelgeving noodzakelijk om zodoende de publieke en particuliere sector als geheel (proactief) weerbaarder te maken tegen cyberaanvallen. De exacte consequenties voor organisaties worden pas duidelijk wanneer de richtlijn geïmplementeerd wordt in nieuwe (nationale) wetgeving. Naar verwachting zal dat pas in 2023 of 2024 aan de orde zijn.

NIS2_v2

 

(Historische) context
In 2013 heeft de Europese Commissie, als onderdeel van de EU-cyberbeveiligingsstrategie, de NIS1-richtlijn voorgesteld met als doel de cyberbeveiliging in de hele EU te verbeteren. Deze richtlijn is op 6 juli 2016 aangenomen en verplicht EU-landen om de doelstellingen uit de richtlijn om te zetten naar nationale wetgeving. 

In Nederland zijn deze doelstellingen geformaliseerd in de Wet beveiliging netwerk- en informatiediensten (Wbni). Deze wet is met ingang van 17 oktober 2018 in werking getreden. De wet geldt voor zogenoemde Aanbieders van Essentiële Diensten (AED’s) en Digitale Service Providers (DSP’s) met als doel het verhogen van de cyberweerbaarheid. 

De Aanbieders van Essentiële Diensten bevinden zich in essentiële sectoren. Dit zijn de sectoren die van vitaal belang zijn voor de samenleving en economie, waarbij afhankelijkheid bestaat van IT-systemen en andere digitale infrastructuren. De sectoren die hieronder vallen zijn: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, volksgezondheid, levering en distributie van drinkwater en digitale infrastructuur.

Onder de Digitale Service Providers, zoals bedoeld in de wet, moet worden gekeken of de dienst(en) voldoet aan de definitie van een online marktplaats, online zoekmachine of een online cloud dienstverlener. 

Meer informatie hierover is te vinden in het Besluit beveiliging netwerk- en informatiesystemen van 30 oktober 2018. 

Wijzigingen NIS1/NIS2-richtlijn
De NIS1-richtlijn is verouderd en aan vervanging/uitbreiding toe. Met de nieuwe NIS2-richtlijn komen er een aantal belangrijke wijzigingen:

  1. De lijst met essentiële diensten/sectoren wordt verder uitgebreid, waarbij het onderscheid tussen Aanbieders van Essentiële Diensten en Digitale Service Providers komt te vervallen;
  2. Er komen aangescherpte (minimale) beveiligingseisen die sterker gericht zijn op risico- en incidentbeheer, inclusief rapportageverplichtingen; 
  3. Strengere toezichtmaatregelen en handhaving worden ingevoerd, waarbij er boetes kunnen worden uitgedeeld die kunnen oplopen tot 10 miljoen euro of 2% van de jaarlijkse omzet wereldwijd;
  4. Een Europees verbindingsnetwerk wordt opgericht (EU- CyCLONe). Het doel is om de samenwerking tussen de autoriteiten van de lidstaten te stimuleren en het delen van informatie te faciliteren.

Meer sectoren vallen onder de nieuwe richtlijn
Het toepassingsgebied wordt aanzienlijk uitgebreid door nieuwe sectoren toe te voegen. De eerder benoemde lijst van sectoren wordt verder uitgebreid met de volgende sectoren:

  • Post- en koeriersdiensten;
  • Afvalwater en afvalstoffenbeheer;
  • Productie, verwerking en distributie van voedsel;
  • Vervaardiging, productie en distributie van chemische stoffen;
  • Vervaardiging van bepaalde kritische producten, zoals apparatuur en machines;
  • Beheer van ICT diensten;
  • Online aanbieders, zoals aanbieders van online marktplaatsen, onlinezoekmachines en platforms voor sociale netwerkdiensten;
  • Ruimtevaart;
  • Overheidsinstanties.

Wat betekent dit in de praktijk?
De NIS2-richtlijn moet ervoor zorgen dat er meer harmonisatie plaatsvindt, waarbij nationale wetgevingen meer op elkaar worden afgestemd. Denk hierbij aan minimum-regelgeving om doeltreffend samen te kunnen werken en rechtsmiddelen en sancties om handhaving te waarborgen. Daarnaast komt er een meldplicht van beveiligingsincidenten. Deze meldplicht is vergelijkbaar met de meldplicht volgens de AVG-wetgeving, waarbij een melding moet worden gemaakt bij een dreiging en niet pas nadat iets fout is gegaan.

De exacte details, en hoe de nieuwe Wet beveiliging netwerk- en informatiediensten (Wbni) er precies gaat uitzien, zijn op dit moment nog niet duidelijk. De Europese landen hebben 21 maanden de tijd om de nieuwe NIS2-richtlijn te implementeren in nationale wetgeving. 

Ongeacht de nieuwe NIS2-richtlijn is het in ieder geval aan te bevelen om passende technische en organisatorische maatregelen te nemen die leiden tot een passend beveiligingsniveau, zodat organisaties minder snel worden geraakt door incidenten, zoals ransomware, hacking of datalekken. Dit betekent in de praktijk een risicoanalyse uitvoeren, rekening houdend met de maatregelen die in artikel 18, lid 2, van de NIS2-richtlijn staan opgenomen. Dit betekent concreet:

“De in lid 1 bedoelde maatregelen omvatten ten minste het volgende:

(a) risicoanalyse en beleid inzake de beveiliging van informatiesystemen;
(b) incidentenbehandeling (preventie en opsporing van en respons op incidenten);
(c)bedrijfscontinuïteit en crisisbeheer;
(d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar leveranciers of dienstverleners, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking of beheerde beveiligingsdiensten;
(e) beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
(f) beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
(g) het gebruik van cryptografie en encryptie.”

Gelet op de maatregelen lijkt er een overlap te zijn met verschillende bestaande (internationale) normen, zoals bijvoorbeeld de ISO27001 (standaard voor informatiebeveiliging) en ISO22301 (bedrijfscontinuïteitsbeheersystemen). 

Kijkende naar de AVG-wetgeving en de grote groep organisaties die het een uitdaging vinden om aan alle wet- en regelgeving te voldoen, raden wij aan om dit als kans te zien voor verdere professionalisering van de IT organisatie en hier tijdig mee aan de slag te gaan, zodat je straks niet op het laatste moment door hoge druk, belangrijke zaken over het hoofd ziet.

Wilt u eens sparren over de deelgebieden waar onze StackSecure consultants u kunnen ondersteunen of ontzorgen? Neem dan vrijblijvend contact op via de chat of het contactformulier.

StackSecure maakt gebruik van cookies.

Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement