De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 omvat meer sectoren dan de bestaande NIS-richtlijn. Daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De richtlijn stuurt op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de NIS2-richtlijn moet bijdragen aan een hoger niveau van cybersecurity bij bedrijven en organisaties.
Wat betekent de NIS2-richtlijn voor uw organisatie?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe sectoren. Een belangrijk verschil met de eerste richtlijn is dat de sector Overheid er nu ook binnen valt.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Zorgplicht – De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling te doen. Op basis daarvan nemen zij passende maatregelen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht – De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht – Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. Momenteel wordt bekeken onder welke toezichthouder de sector Overheid komt te vallen (dit is nog niet bekend) en wat het toezicht inhoudt.
Wat kunnen organisaties alvast doen om zich voor te bereiden?
Het voldoen aan bestaande kaders voor informatiebeveiliging bij de overheid, waaronder de Baseline Informatiebeveiliging Overheid (BIO), vormt de basis om invulling te geven aan de zorgplicht die uit NIS2 volgt. Het volgen van de huidige verplichtingen is dus een belangrijk beginpunt. Waarschijnlijk wordt de BIO met een aantal verplichtingen uitgebreid. Wat dat precies betekent, wordt nog bepaald.
Cyber Security Booster NIS2
De CyberSecurityBooster van expert Bernold Nieuwesteeg is een webinarreeks die je een maandelijkse ‘kennisboost’ op cybersecuritygebied geeft. Je
wordt bijvoorbeeld bijgespijkerd door Europarlementariër Bart Groothuis over NIS2. De boostersessies zijn uiteraard terug te kijken en actueel. De MKB Cyber Campus is netwerkpartner van de Cyber SecurityBooster en deelt daarom deze kennis via onze website.
NIS2 tool gelanceerd: valt jouw organisatie eronder?
Recent is de zelf-evaluatie NIS2 gelanceerd, die in nauwe afstemming met betrokken ministeries en toezichthouders, door de Rijksinspectie Digitale Infrastructuur (RDI) is ontwikkeld. Wie de zelf-evaluatie invult, weet of zijn organisatie onder de NIS2-richtlijn valt. Ook wordt duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie.
Bekijk de NIS2 zelf-evaluatie tool om te bepalen of je organisatie onder de NIS2-richtlijn valt.
Meer weten?
Vind je hier niet de informatie die je zoekt? Kijk dan ook eens bij de veelgestelde vragen over de NIS2-richtlijn of neem contact op met Erik Miedema.
Bron: digitaleoverheid.nl