Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

NIS2 Richtlijn

De NIS2-richtlijn is een herziene versie van de Europese richtlijn betreffende de beveiliging van netwerk- en informatiesystemen. NIS staat voor “Netwerk- en Informatiebeveiliging”. De oorspronkelijke NIS-richtlijn werd in 2016 aangenomen en heeft tot doel een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie te waarborgen. De NIS2-richtlijn is geïnitieerd door de Europese Commissie als reactie op de toenemende cyberdreigingen.

De NIS2-richtlijn is de bijgewerkte versie van deze wetgeving en heeft tot doel het cybersecuritybeleid van de EU te versterken en te verbeteren. De richtlijn draagt bij aan Europese harmonisatie op het gebied van cybersecurity. De exacte details van de NIS2-richtlijn kunnen variëren, afhankelijk van de goedkeuring, wijzigingen en aanpassingen die door het Europees Parlement en de Raad van de Europese Unie zijn aangenomen.

Enkele van de belangrijkste elementen die in de NIS2-richtlijn kunnen worden opgenomen, zijn:

  1. Uitbreiding van de toepassing: De NIS2-richtlijn kan van toepassing zijn op een breder scala aan sectoren en dienstverleners, waaronder platforms voor online marktplaatsen, zoekmachines en clouddienstverleners.
  2. Versterking van beveiligingsmaatregelen: De richtlijn kan eisen dat aangewezen dienstverleners bepaalde minimale beveiligingsmaatregelen implementeren en dat zij incidenten melden bij de nationale autoriteiten.
  3. Nationale coördinatie en samenwerking: De NIS2-richtlijn kan vereisen dat EU-lidstaten samenwerken en informatie delen over cyberdreigingen en -incidenten om een gecoördineerde respons te waarborgen.
  4. Straffen en handhaving: De richtlijn kan ook voorzien in sancties voor niet-naleving van de voorschriften, om ervoor te zorgen dat de beveiliging van netwerk- en informatiesystemen serieus wordt genomen.

Het is belangrijk op te merken dat de exacte inhoud van de NIS2-richtlijn kan variëren, afhankelijk van de goedkeuringsprocessen en eventuele wijzigingen die door de EU-instellingen zijn aangebracht. Voor de meest actuele informatie over de NIS2-richtlijn en de specifieke bepalingen ervan, kunt u de officiële publicaties en mededelingen van de Europese Unie raadplegen.

De NIS2-richtlijn heeft aanzienlijke implicaties voor organisaties binnen de Europese Unie, vooral voor diegenen die actief zijn in sectoren die van vitaal belang zijn voor de maatschappij. Hier zijn enkele belangrijke punten over wat de richtlijn voor jouw organisatie kan betekenen:

Verplichte Zorgplicht

Een van de belangrijkste aspecten van de NIS2-richtlijn is de zorgplicht. Dit houdt in dat organisaties verplicht zijn om een risicobeoordeling uit te voeren en passende maatregelen te nemen om de continuïteit van hun diensten te waarborgen en de informatie die zij gebruiken te beschermen 

Dit betekent dat jouw organisatie proactief moet zijn in het identificeren van potentiële risico’s en het implementeren van beveiligingsmaatregelen.

Meldplicht bij Incidenten

Organisaties die onder de NIS2-richtlijn vallen, hebben een meldplicht. Dit houdt in dat zij incidenten binnen 24 uur moeten melden aan de relevante toezichthouder 

Dit vereist dat jouw organisatie niet alleen voorbereid is op mogelijke incidenten, maar ook dat er duidelijke procedures zijn voor het rapporteren van deze incidenten.

Breder Toepassingsgebied

De NIS2-richtlijn breidt het toepassingsgebied uit naar een groter aantal sectoren en organisaties, waaronder gezondheidszorg, transport, energie, en ook overheidsdiensten en levensmiddelen 

Dit betekent dat meer bedrijven dan voorheen onder de richtlijn vallen en dat de eisen voor cybersecurity strenger worden.

Ondersteuning en Advies

De richtlijn schrijft voor dat essentiële en belangrijke entiteiten ondersteuning moeten ontvangen van een Computer Security Incident Response Team (CSIRT). Dit kan jouw organisatie helpen bij het verbeteren van de weerbaarheid tegen digitale dreigingen en het bieden van advies bij incidenten 

Sancties en Handhaving

Met de NIS2-richtlijn worden de eisen voor handhaving aangescherpt en zullen sancties in de hele EU gelden voor organisaties die niet voldoen aan de richtlijnen 

Dit betekent dat jouw organisatie niet alleen moet voldoen aan de nieuwe eisen, maar ook dat er consequenties kunnen zijn voor non-compliance.

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

De NIS2-richtlijn richt zich op een breed scala aan sectoren en organisaties die van vitaal belang zijn voor de maatschappij. Hieronder worden de belangrijkste sectoren en types organisaties besproken die onder deze richtlijn vallen.

Essentiële en Belangrijke Entiteiten

Organisaties worden geclassificeerd als essentiële of belangrijke entiteiten op basis van hun rol in de samenleving en de impact die hun uitval kan hebben. De richtlijn breidt het toepassingsgebied uit ten opzichte van de eerdere NIS1-richtlijn, waardoor meer sectoren en organisaties onder de regelgeving vallen.

Belangrijke Sectoren

  1. Gezondheidszorg: Ziekenhuizen, zorginstellingen en andere gezondheidsdiensten die cruciaal zijn voor de volksgezondheid.
  2. Energie: Leveranciers van elektriciteit, gas en andere energiebronnen.
  3. Transport: Organisaties die verantwoordelijk zijn voor het vervoer van goederen en personen, inclusief luchtvaart, spoorwegen en wegtransport.
  4. Waterbeheer: Bedrijven die verantwoordelijk zijn voor de levering van drinkwater en de behandeling van afvalwater.
  5. Digitale Diensten: Leveranciers van digitale infrastructuur, zoals cloud-diensten en online marktplaatsen.
  6. Levensmiddelen: Organisaties die betrokken zijn bij de productie en distributie van voedsel.
  7. Afvalbeheer: Bedrijven die verantwoordelijk zijn voor het beheer van afval en recycling.

Toezicht en Verplichtingen

Organisaties die onder de NIS2-richtlijn vallen, zijn onderworpen aan verplicht toezicht door onafhankelijke toezichthouders. Dit houdt in dat zij moeten voldoen aan specifieke eisen op het gebied van cybersecurity en incidentrapportage. De richtlijn vereist ook dat deze organisaties een zorgplicht hebben om hun digitale infrastructuur te beschermen en incidenten tijdig te melden .

Belangrijke Entiteiten

Belangrijke entiteiten zijn organisaties die ook belangrijke diensten leveren, maar die niet als essentieel worden beschouwd. Deze entiteiten hebben lagere verplichtingen en zijn onderworpen aan reactief toezicht. Voorbeelden van belangrijke entiteiten zijn:

  • Digitale dienstverleners: Bedrijven die online diensten aanbieden, zoals cloud-diensten en sociale media.
  • Middelgrote aanbieders van elektronische communicatienetwerken: Organisaties die betrokken zijn bij telecommunicatie, maar niet de schaal van essentiële entiteiten hebben.

Belangrijke entiteiten hebben minder strenge meldplichten en kunnen lagere financiële sancties krijgen in geval van non-compliance

NIS2: Uitbreiding van het Toepassingsgebied

De NIS2-richtlijn breidt het toepassingsgebied van de oorspronkelijke NIS-richtlijn aanzienlijk uit. Dit heeft belangrijke gevolgen voor de manier waarop cybersecurity wordt beheerd binnen de EU. Hier zijn enkele belangrijke punten over deze uitbreiding:

Nieuwe Sectoren en Entiteiten

De NIS2-richtlijn omvat nu een breder scala aan sectoren en organisaties die voorheen niet onder de NIS-richtlijn vielen. Dit betekent dat meer entiteiten verplicht zijn om maatregelen te nemen om hun cyberbeveiliging te verbeteren. Enkele van de nieuwe sectoren die onder de NIS2-richtlijn vallen zijn:

  • Overheid: Voorheen was de overheidssector niet expliciet opgenomen, maar onder NIS2 moeten ook overheidsinstanties voldoen aan de cybersecurity-eisen.
  • Digitale Diensten: Leveranciers van digitale diensten, zoals cloud-diensten en online platforms, vallen nu ook onder de richtlijn.
  • Levensmiddelen: Organisaties die betrokken zijn bij de productie en distributie van voedsel zijn nu ook verplicht om aan de richtlijnen te voldoen 1.

Harmonisatie van Regels

De NIS2-richtlijn introduceert ook een harmonisatie van regels voor de identificatie van essentiële en belangrijke entiteiten. Dit houdt in dat er uniforme criteria worden gehanteerd, zoals een omvangslimiet, om te bepalen welke organisaties onder de richtlijn vallen. Dit zorgt voor meer duidelijkheid en consistentie in de toepassing van de regelgeving 

Sancties en Verantwoordelijkheden

Met de uitbreiding van het toepassingsgebied komen ook strengere sancties en verantwoordelijkheden. De richtlijn introduceert sancties die vergelijkbaar zijn met die van de Algemene Verordening Gegevensbescherming (AVG), met boetes die kunnen oplopen tot tien miljoen euro of twee procent van de wereldwijde omzet, afhankelijk van de ernst van de overtreding.

NIS2 richt zich vooral op organisaties die worden gezien als leverancier van essentiële diensten. Hierbij lijkt het MKB uitgezonderd te worden maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties. In de NIS2-richtlijn is een aantal maatregelen voor het beheer van cyberbeveiligingsrisico’s opgenomen waaraan minimaal moet worden voldaan. Brengt de NIS2 een verplichting tot certificering voor toeleveranciers?

Wat kunnen organisaties alvast doen om zich voor te bereiden?

Voorbereidingen voor Organisaties onder de NIS2-richtlijn

Organisaties die zich willen voorbereiden op de NIS2-richtlijn kunnen verschillende stappen ondernemen om hun cybersecurity te versterken en te voldoen aan de nieuwe eisen. Hier zijn enkele belangrijke acties die organisaties kunnen overwegen:

1. Begrijp de Zorgplicht

Organisaties moeten zich bewust zijn van hun zorgplicht onder de NIS2-richtlijn. Dit houdt in dat zij verantwoordelijk zijn voor het waarborgen van een adequaat niveau van cybersecurity. Het is essentieel om de specifieke vereisten en verantwoordelijkheden die voortvloeien uit de richtlijn te begrijpen en te implementeren 

2. Voer een Risicoanalyse uit

Een grondige risicoanalyse helpt organisaties om kwetsbaarheden in hun systemen en processen te identificeren. Dit stelt hen in staat om gerichte maatregelen te nemen om deze risico’s te mitigeren. Het is belangrijk om regelmatig deze analyses uit te voeren, vooral na significante veranderingen in de organisatie of de technologie.

3. Cybersecurity Oefeningen

Organisaties kunnen profiteren van het opzetten van cyberoefeningen om hun paraatheid te testen. Dit kan variëren van tabletop-oefeningen tot meer uitgebreide simulaties van cyberincidenten. Het doel is om de responsprocedures te evalueren en te verbeteren, en om medewerkers bewust te maken van hun rol in het cybersecuritybeleid 

4. Training en Bewustwording

Het is cruciaal om medewerkers te trainen in cybersecurity-bewustzijn. Dit omvat het herkennen van phishing-aanvallen, veilig omgaan met wachtwoorden en het rapporteren van verdachte activiteiten. Regelmatige training helpt om een cultuur van cybersecurity binnen de organisatie te bevorderen.

5. Implementatie van Beveiligingsmaatregelen

Organisaties moeten investeren in technologische oplossingen zoals firewalls, antivirussoftware en intrusion detection systems (IDS) om hun netwerken en systemen te beschermen. Het is ook belangrijk om software regelmatig bij te werken en te patchen om kwetsbaarheden te verhelpen.

6. Incident Response Plan

Het opstellen van een incident response plan is essentieel. Dit plan moet duidelijk de stappen beschrijven die moeten worden genomen in het geval van een cyberincident, inclusief communicatieprotocollen en verantwoordelijkheden. Dit helpt om de impact van een incident te minimaliseren en de hersteltijd te verkorten.

Conclusie

Door deze stappen te ondernemen, kunnen organisaties zich effectief voorbereiden op de NIS2-richtlijn en hun algehele cybersecurity verbeteren. Het is belangrijk om proactief te zijn en een cultuur van veiligheid te bevorderen, zodat de organisatie beter bestand is tegen digitale dreigingen.

Boetes en Bestuurdersaansprakelijkheid onder de NIS2-richtlijn

De NIS2-richtlijn introduceert belangrijke implicaties voor zowel organisaties als hun bestuurders, vooral op het gebied van boetes en bestuurdersaansprakelijkheid. Hier zijn enkele belangrijke punten om te overwegen:

Boetes

Onder de NIS2-richtlijn kunnen organisaties aanzienlijke boetes opgelegd krijgen voor niet-naleving van de cybersecurity-eisen. De richtlijn stelt dat boetes kunnen oplopen tot 10 miljoen euro of tot 2% van de wereldwijde omzet, afhankelijk van wat hoger is. Dit benadrukt de noodzaak voor organisaties om hun cybersecuritymaatregelen serieus te nemen en te voldoen aan de vereisten van de richtlijn.

Bestuurdersaansprakelijkheid

De concepten van bestuurdersaansprakelijkheid zijn ook relevant in het kader van de NIS2-richtlijn. Hoewel de hoofdregel in het rechtssysteem is dat bestuurders van rechtspersonen in principe niet persoonlijk aansprakelijk zijn voor de schulden van hun organisatie, zijn er uitzonderingen. Bestuurders kunnen aansprakelijk worden gesteld als zij nalatig zijn in hun verantwoordelijkheden, vooral als dit leidt tot een schending van de NIS2-eisen.

  • Doorbreking van het Schild van Rechtspersoonlijkheid: In bepaalde situaties kan het “schild van rechtspersoonlijkheid” doorbroken worden, wat betekent dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor de gevolgen van hun handelen of nalaten. Dit kan bijvoorbeeld het geval zijn als er sprake is van grove nalatigheid of opzettelijk wangedrag 1.
  • Directe Aansprakelijkheid: De NIS2-richtlijn kan ook leiden tot een snellere mogelijkheid voor derden om bestuurders direct aansprakelijk te stellen voor tekortkomingen in de naleving van de richtlijn. Dit betekent dat bestuurders zich bewust moeten zijn van hun verantwoordelijkheden en de risico’s die verbonden zijn aan hun rol.

Conclusie

De NIS2-richtlijn heeft aanzienlijke gevolgen voor zowel organisaties als hun bestuurders. Het is van cruciaal belang dat bestuurders zich bewust zijn van de risico’s van aansprakelijkheid en de mogelijke boetes die kunnen voortvloeien uit niet-naleving. Organisaties moeten proactief werken aan hun cybersecuritybeleid en ervoor zorgen dat hun bestuurders goed geïnformeerd zijn over hun verantwoordelijkheden om persoonlijke aansprakelijkheid te voorkomen.

Toezicht, Handhaving en Audits binnen de NIS2-richtlijn

De NIS2-richtlijn introduceert een gestructureerd kader voor toezichthandhaving en audits om de naleving van cybersecurity-eisen te waarborgen. Dit is cruciaal voor het verbeteren van de digitale weerbaarheid van organisaties die van vitaal belang zijn voor de maatschappij.

Toezicht

Toezicht op de naleving van de NIS2-richtlijn wordt uitgevoerd door aangewezen toezichthouders, zoals de Rijksinspectie Digitale Infrastructuur (RDI) in Nederland. Deze toezichthouders hebben de bevoegdheid om audits en inspecties uit te voeren bij organisaties die onder de richtlijn vallen. Dit toezicht kan zowel proactief als reactief zijn, waarbij controles steekproefsgewijs kunnen plaatsvinden, zelfs zonder directe aanleiding tot zorgen 

Handhaving

De handhaving van de NIS2-richtlijn is ontworpen om effectief en afschrikkend te zijn. Indien een toezichthouder vaststelt dat een organisatie zich niet aan de regels houdt, kan er een scala aan handhavingsmaatregelen worden genomen. Dit kan variëren van waarschuwingen tot het opleggen van boetes die kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk van wat hoger is. Dit strenge handhavingsbeleid is bedoeld om organisaties te motiveren om hun cybersecuritymaatregelen serieus te nemen.

Audits

Audits zijn een essentieel onderdeel van het toezicht en de handhaving. De toezichthouder kan organisaties onderwerpen aan audits om te controleren of zij voldoen aan de vereisten van de NIS2-richtlijn. Deze audits kunnen zowel gepland als ongepland zijn en zijn gericht op het beoordelen van de effectiviteit van de cybersecuritymaatregelen die door de organisatie zijn geïmplementeerd 

Meldplicht

Een belangrijk aspect van de NIS2-richtlijn is de meldplicht voor beveiligingsincidenten. Organisaties zijn verplicht om ernstige beveiligingsincidenten binnen 24 uur te melden aan hun toezichthouder en aan het sectorale Computer Security Incident Response Team (CSIRT). Dit helpt om snel te reageren op incidenten die de dienstverlening aanzienlijk kunnen verstoren 

Conclusie

De NIS2-richtlijn legt een sterke nadruk op toezicht, handhaving en audits om de cybersecurity binnen de EU te verbeteren. Organisaties moeten zich voorbereiden op mogelijke audits en handhaving, en ervoor zorgen dat zij voldoen aan de vereisten om boetes en andere sancties te vermijden. Door proactief te werken aan hun cybersecuritybeleid kunnen zij niet alleen voldoen aan de richtlijn, maar ook hun algehele digitale weerbaarheid versterken.