De Impact van de NIS2-richtlijnen op Cybersecurity in Europa

Inleiding

De NIS2-richtlijn, die binnenkort van kracht wordt, markeert een significante stap in de versterking van de Europese cyberbeveiliging. Deze richtlijn breidt de bestaande NIS1-richtlijn uit en introduceert strengere veiligheidsvereisten voor een bredere reeks sectoren, waaronder ook overheidsinstellingen. In dit artikel analyseren we de belangrijkste veranderingen en implicaties van NIS2.

Uitbreiding van het Toepassingsgebied

De oorspronkelijke NIS1-richtlijn uit 2016 richtte zich voornamelijk op essentiële diensten zoals energie, vervoer, en digitale infrastructuur. NIS2 breidt dit uit door ook lokale, provincies en rijks overheden, de gezondheidssector, drinkwaterbedrijven, en ruimtevaartorganisaties op te nemen. Dit betekent dat deze sectoren nu aan dezelfde strenge veiligheidsnormen moeten voldoen als commerciële bedrijven binnen dezelfde categorie【COM(2020) 823 final】【RICHTLIJN (EU) 2016/1148】【De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk】.

Verantwoordelijkheden en Aansprakelijkheid

Een van de meest opvallende aspecten van NIS2 is de nadruk op organisatorische verantwoordelijkheid. Leidinggevenden binnen organisaties dragen expliciet verantwoordelijkheid voor de implementatie en naleving van cybersecuritymaatregelen. Dit kan, in gevallen van nalatigheid, zelfs leiden tot persoonlijke aansprakelijkheid. Artikel 20 van NIS2 en artikel 31 beschrijven deze verantwoordelijkheden in detail【De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk】.

Vier Kerngebieden van Impact

• Management: Leidinggevenden moeten risico’s identificeren en aanpakken, en zorgen voor regelmatige bewustzijnscampagnes.

• Processen: Definiëring en implementatie van processen voor informatieclassificatie, incidentbeheer en beveiliging van de toeleveringsketen.

• Risicobeheer: Classificatie van informatie en voortdurende risicoanalyse om de impact van incidenten te minimaliseren.

• Bedrijfscontinuïteit: Ontwikkeling en testen van crisismanagementplannen om de continuïteit van de dienstverlening te waarborgen【houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie】【De EU-strategie inzake cyberbeveiliging voor het digitale tijdperk】.

Verordening Digitale Operationele Weerbaarheid

Naast NIS2 is de Verordening (EU) 2022/2554 van belang, specifiek voor de financiële sector. Deze verordening legt strengere eisen op aan ICT-risicobeheer en operationele weerbaarheid. Financiële entiteiten moeten beschikken over uitgebreide capaciteiten voor ICT-risicobeheer, inclusief mechanismen voor het reageren op ICT-incidenten en het melden van ernstige incidenten. Dit helpt de stabiliteit en integriteit van de financiële markten te waarborgen en voorkomt dat lokale kwetsbaarheden zich snel door het financiële systeem verspreiden【betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011】.

Concreet Advies voor Overheden

Overheidsorganisaties worden geadviseerd om proactief maatregelen te nemen zoals bewustwordingscampagnes, risicoanalyses, en het implementeren van gegevensbescherming via encryptie en toegangsbeheer. Daarnaast wordt aangeraden om incident response plannen te ontwikkelen en te testen【NIS2-Quickscan helpt organisaties bij voorbereiding op nieuwe cyberwet】.

Zorgplichtmaatregelen voor NIS2-bedrijven

NIS2-bedrijven moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Onder de zorgplicht vallen ten minste de volgende maatregelen【DTC Community】:

• Een risicoanalyse en beveiliging van informatiesystemen.

• Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets.

• Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen.

• Incidentenbehandeling.

• Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging.

• Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden.

• Beveiliging van de toeleveranciersketen.

• Beleid en procedures over het gebruik van cryptografie en encryptie.

• Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.

• Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Checklist voor NIS2 Compliance

Voor een gedetailleerde zelfevaluatie kunnen organisaties gebruikmaken van de NIS2 Quickscan, beschikbaar via deze link.

OnderwerpVerplichtingWat wordt verwachtManagementIdentificeren van risico’sLeidinggevenden moeten risico’s binnen de organisatie identificeren en aanpakken.ManagementRegelmatige bewustzijnscampagnesOrganiseren van campagnes om het bewustzijn over cybersecurity te vergroten.ProcessenInformatieclassificatieDefiniëren en implementeren van processen voor de classificatie van informatie.ProcessenIncidentbeheerOpzetten van procedures voor het beheer van beveiligingsincidenten.ProcessenBeveiliging van de toeleveringsketenZorgen voor beveiligingsmaatregelen binnen de toeleveringsketen.RisicobeheerVoortdurende risicoanalyseVoortdurend analyseren en evalueren van risico’s.RisicobeheerClassificatie van informatieClassificeren van informatie op basis van gevoeligheid en risico.RisicobeheerMinimaliseren van de impact van incidentenImplementeren van maatregelen om de impact van incidenten te minimaliseren.BedrijfscontinuïteitOntwikkelen van crisismanagementplannenOntwikkelen van plannen om de bedrijfsvoering te waarborgen tijdens crises.BedrijfscontinuïteitTesten van crisismanagementplannenRegelmatig testen van de effectiviteit van crisismanagementplannen.Digitale Operationele WeerbaarheidICT-risicobeheerImplementeren van uitgebreide ICT-risicobeheercapaciteiten.Digitale Operationele WeerbaarheidMelden van ernstige ICT-incidentenOpzetten van mechanismen voor het melden van ernstige ICT-incidenten.Governance en BeleidsvoeringFormuleren van een beveiligingsbeleidVaststellen van een formeel beveiligingsbeleid en richtlijnen binnen de organisatie.Toegang tot InformatieToegangsbeheerImplementeren van maatregelen voor toegangsbeheer om ongeautoriseerde toegang te voorkomen.Technische BeveiligingsmaatregelenEncryptieGebruik van encryptie voor het beschermen van gevoelige informatie.Incidentdetectie en -responsMonitoring en detectieInzetten van monitoringtools voor het vroegtijdig detecteren van incidenten.Incidentdetectie en -responsIncidentresponsOntwikkelen van een incidentresponsplan en trainen van personeel om snel te reageren op incidenten.Evaluatie en VerbeteringAudits en testenRegelmatig uitvoeren van audits en tests om de effectiviteit van beveiligingsmaatregelen te evalueren.Communicatie en MeldingenInterne en externe communicatieOpzetten van communicatiemechanismen voor interne en externe meldingen van incidenten en risico’s.Trainings- en Opleidingsprogramma’sCybersecuritytrainingOntwikkelen en implementeren van trainingsprogramma’s voor personeel om hen bewust te maken van cybersecurity.Beleid en ProceduresBeleid voor gebruik van cryptografieImplementeren van beleid en procedures voor het gebruik van cryptografie en encryptie.ContinuïteitBack-upbeheerImplementeren van maatregelen voor back-upbeheer en noodvoorzieningen.ToeleveringsketenBeveiliging van toeleveranciersketenImplementeren van beveiligingsmaatregelen voor de toeleveranciersketen.ToegangscontroleMultifactorauthenticatieGebruik van multifactorauthenticatie voor beveiligde toegang.

Conclusie

De implementatie van NIS2 en de aanvullende verordeningen markeren een belangrijke vooruitgang in de Europese cybersecuritywetgeving. Organisaties, inclusief overheden, moeten zich voorbereiden op de strengere eisen en de bredere verantwoordelijkheden die deze richtlijnen met zich meebrengen. Door nu al maatregelen te treffen, kunnen zij tijdig voldoen aan de nieuwe wetgeving en hun weerbaarheid tegen cyberdreigingen vergroten. Een nuttig referentiekader hierbij is het Cyberfundamentals Framework van Safeonweb, dat tools en bronnen biedt om een robuuste cybersecuritybasis op te zetten. Het raamwerk is gebaseerd op en gekoppeld aan 4 veelgebruikte cyberbeveiligingsraamwerken: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443【CyberFundamentals Framework.

Link naar meer info NCSC: te beschermen belangen’ (TBB’s) van jouw organisatie

Wilt u uw organisatie voorbereiden op de NIS2-richtlijnen en uw cyberbeveiliging versterken? Neem contact op met DJIMIT voor deskundige begeleiding en ondersteuning bij de implementatie van de benodigde maatregelen. Neem vandaag nog contact op en maak uw organisatie weerbaar tegen toekomstige cyberdreigingen.