De Tweede Europese Richtlijn Network and Information Security directive, ofwel NIS2, is bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Ten opzichte van de oude NIS-richtlijn heeft NIS2 betrekking op een groter aantal sectoren, waaronder nu ook de overheid. Bovendien stelt NIS2 strengere eisen op het gebied van beveiliging en het melden van incidenten.

Welke verplichtingen schrijft de NIS2-richtlijn voor?

Zorgplicht – NIS2 verplicht organisaties om zelf een risicobeoordeling te doen en op basis daarvan passende maatregelen te treffen die hun dienstverlening waarborgen en informatie beschermen.

Meldplicht – entiteiten moeten incidenten die hun dienstverlening verstoren binnen 24 uur melden bij de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en mogelijke financiële verliezen.

Toezicht – er wordt een onafhankelijke toezichthouder aangesteld die de naleving van de richtlijn beoordeelt. Dit gebeurt per lidstaat van de EU. Het is nog niet bekend welke instantie in Nederland wordt aangewezen als toezichthouder en wat het toezicht inhoudt.

Wat kun je nu al doen?

NIS2 schrijft dus voor dat bedrijven een zorgplicht hebben, dat ze de beveiliging van hun netwerken en informatiesystemen waarborgen met maatregelen zoals risicoanalyse, en deze maatregelen periodiek testen en evalueren. Wat kun je nu al doen?

Gap-analyse

Je kunt beginnen met het maken van een gap-analyse, een methode die een bestaande situatie vergelijkt met de gewenste situatie. Zo inventariseer je de mogelijke consequenties voor je organisatie. Hoewel nog niet alles duidelijk is vanuit de NIS2-richtlijn, is de essentie van de richtlijn op zich redelijk helder. Bij die inventarisatie van de mogelijke consequenties kun je al de volgende stappen nemen:

• het informatiebeveiligingsbeleid aanscherpen
• (extra) maatregelen definiëren die cyberrisico’s voorkomen of verkleinen
• processen maken die je straks gaat gebruiken om meldingen door te geven aan het CSIRT
• naast bestaande risico’s, ook nieuwe mogelijke risico’s in kaart brengen zodat de gevolgen en impact van incidenten eerder bekend zijn
• de NIS2-richtlijn agenderen bij de directie op de agenda van 2024
• budget en capaciteit reserveren om op tijd klaar te zijn

Compliant blijven

Wees je ervan bewust dat organisaties hun beveiligingsmaatregelen voortdurend moeten monitoren en bijwerken in overeenstemming met de veranderende dreigingen en technologie. Compliant blijven met NIS2 vereist investeringen in technologie, medewerkers en processen voor informatiebeveiliging. De overheid werkt weliswaar nog aan de precieze invulling van het toezicht en de sancties voor non-compliance, maar toch is het essentieel dat bedrijven zich nu al actief op de hoogte stellen van de NIS2-wetgeving en proactief stappen nemen. Zo voldoen ze tijdig aan de eisen en plichten op het gebied van beveiliging, om boetes en reputatieschade te voorkomen.