Uiterlijk 17 oktober van dit jaar moet de nieuwe NIS2-maatregel in elke lidstaat van de Europese Unie van kracht zijn. Een nobel streven wellicht, maar de NIS2 komt er vroeger of later. Harm Teerenstra is Systems Engineer Public bij Fortinet. Tijdens ons Labs Event vertelt hij uitgebreid over het hoe en waarom van de NIS2. In deze blog alvast een vooruitblik.
Officieel ligt de deadline op 17 oktober van dit jaar voor implementatie van de nieuwe NIS2-maatregel. Of dat gehaald wordt, is nog maar de vraag. Naar verwachting wordt de nieuwe Nederlandse cybersecuritywet die uit NIS2 voortvloeit pas aan het eind van het jaar door de Tweede Kamer geloodst.
Maar vroeg of laat is ie er toch, dus het is een goed idee om je nu al zo goed als mogelijk voor te bereiden. NIS2 is de afkorting van ‘Netwerk- en Informatiebeveiligingsrichtlijn’, een Europese wet die binnen ‘vitale sectoren’ de cybersecuritystandaarden moet verhogen en de reactie op incidenten moet verbeteren. Dat dwingt vele organisaties om nóg kritischer te kijken naar genomen en te nemen maatregelen als het gaat om cybersecurity. Maar voor wie geldt NIS2?
Voor wie?
De eerste versie van de NIS werd in Nederland vertaald naar de Wet Beveiliging Netwerk en Informatiesystemen, de WBNI. De WBNI was gericht op vitale dienstverleners, zoals NUTS-bedrijven. De scope van de nieuwe NIS2 is breder. Essentiële entiteiten zijn grote organisaties met meer dan 250 werknemers of een omzet van meer dan 50 miljoen euro. Het gaat om de sectoren energie, vervoer, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, bankwezen, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart. Het toezicht voor deze entiteiten op naleving van de NIS2 zal proactief gebeuren. Daarnaast is er nog sprake van ‘belangrijke entiteiten’: grote of middelgrote organisaties met meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro. Dat kan gaan om bedrijven in de eerdergenoemde sectoren, of om organisaties in de afvalstoffenbeheer, vervaardiging, vervaardiging, productie en distributie van chemische stoffen, post- en koeriersdiensten, digitale aanbieders, onderzoek en productie, verwerking en distributie van levensmiddelen. Het toezicht op naleving is reactief.
Wat staat er in de NIS2?
De belangrijkste onderdelen van NIS2 zijn onder te verdelen in vier punten. “Allereerst een zorgplicht”, vertelt Harm Teerenstra. “Er is een verplichting tot het nemen van passende en evenredige, technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren, incidenten te voorkomen en de impact van incidenten te beperken. Dat geeft al aan dat incident response, een belangrijk aspect is van de NIS2.” Als tweede punt is de meldplicht belangrijk. Harm: “Er is de verplichting tot het onvoorwaardelijk melden van een incident bij de bevoegde autoriteit. Die bevoegde autoriteit verschilt per organisatie, maar voor de meesten zal het de NCSC zijn, het Nationaal Cyber Security Centrum.” De meldplicht omvat verder dat binnen 24 uur na kennisname van een incident een eerste melding binnen moet zijn en binnen 72 uur een gedetailleerde melding. De organisatie moet op verzoek updates aanleveren en binnen een maand een eindverslag. “Het idee hierachter is dat organisaties van elkaar kunnen en moeten leren in dit soort gevallen. Er moet meer transparantie komen. En ja, je kunt ook leren van de incidenten bij anderen.” Een belangrijke reden waarom NIS2 meer aandacht krijgt dan zijn voorganger, is dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld bij het niet nakomen van verplichtingen. Harm: “Dat is nooit eerder voorgekomen. Voorheen kon iedereen zich verschuilen achter een BV of wat dan ook. Die vlieger gaat straks niet meer op. Dat is wel heel belangrijk punt. Zeker als je naar het vierde punt kijkt: de sancties. Voor essentiële entiteiten is het niet nakomen van de verplichting een sanctie van 10 miljoen euro of 2 procent van de jaaromzet en voor belangrijke entiteiten 7 miljoen euro of 1,4 procent van de jaaromzet.”
Conclusie
We kunnen er niet omheen: NIS2 komt eraan en wordt naar verwachting nog voor het eind van het jaar door het parlement geratificeerd. Deze wet betekent dat veel organisaties aan de slag moeten met hun cybersecuritybeleid. Maar hoe doe je dat en waar begin je? In onze tweede blog met Harm Teerenstra vertellen we er meer hierover.