NIS2 voor bestuurders en toezichthouders

Voor je het weet is NIS2 van kracht. Deze nieuwe cyberwetgeving, gebaseerd op de EU-richtlijn, zal vanaf eind 2024 aanzienlijke gevolgen hebben voor tal van organisaties, maar biedt tegelijkertijd ook nieuwe mogelijkheden. Een groot aantal organisaties zal worden aangemerkt als ‘belangrijk’ of ‘essentieel’, wat resulteert in meer wettelijke verplichtingen en een uitgebreidere bestuurdersaansprakelijkheid.

Bestuurders staan voor een belangrijke taak op het gebied van cyber security. NIS2 vereist een volledige focus op het inrichten van een optimale digitale weerbaarheid. Maar waar leg je als bestuurder nou de focus en welke vragen kun je als toezichthouder stellen?

Welke organisaties moeten aan de NIS2 voldoen?

NIS2 is van toepassing op alle middelgrote en grote ondernemingen in sectoren zoals gespecificeerd in (bijlagen I en II van) de NIS2-richtlijn. Hierbij wordt onderscheid gemaakt tussen essentiële en belangrijke sectoren en wordt gekeken naar de omvang van de organisatie.

De essentiële sectoren omvatten: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (Business to Business), overheidsdiensten en ruimtevaart.

De belangrijke sectoren zijn: post- en koeriersdiensten, afvalbeheer, chemische industrie, voedingsmiddelenindustrie, maakindustrie (bepaalde specifieke segmenten), digitale dienstverleners (zoals marktplaatsen) en onderzoek.

De NIS2-richtlijn richt zich in beginsel op organisaties die als middelgroot of groot worden aangemerkt, dat wil zeggen organisaties met meer dan 50 werknemers en/ of een omzet van meer dan 10 miljoen euro per jaar. Hierbij lijkt het MKB te worden uitgezonderd maar voor bepaalde, specifieke ICT-diensten geldt de NIS2-richtlijn ook voor kleinere organisaties.

Organisaties die onder de NIS2 vallen, moeten allemaal voldoen  aan dezelfde eisen voor cybersecurity en rapportage, maar toezichts- en sanctieregelingen zullen verschillen. Essentiële sectoren zullen onderhevig zijn aan een strenger toezicht regime dan belangrijke sectoren.

Veel organisaties vragen zich af of de NIS2 straks voor hen van toepassing is.

Tip: Doe de check via deze website: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Wat verandert er?

In de eerste plaats kunnen organisaties forse boetes krijgen als de NIS2 richtlijnen niet worden nageleefd. Dit is te vergelijken met de introductie van de AVG in 2018. Toezichthouders moeten ervoor zorgen dat de organisaties die onder de reikwijdte vallen, aantoonbaar voldoen aan de voorwaarden die de NIS2 stelt. Daarnaast kunnen bestuurders makkelijker aansprakelijk worden gesteld als de NIS2 eisen niet op een acceptabel niveau zijn geïmplementeerd.

De organisaties die onder de NIS2-richtlijn vallen, dienen passende en evenredige technische, operationele en organisatorische maatregelen te nemen. Dit is bedoeld om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten gebruiken voor hun activiteiten of dienstverlening te beheren. Dit omvat ook het voorkomen van incidenten en het beperken van de gevolgen van incidenten voor de gebruikers van hun diensten en andere dienstverleners. Risicomanagement dient geïmplementeerd te zijn en vormt de basis voor het bepalen van passende maatregelen.

Artikel 21, lid 2 van de NIS2-richtlijn beschrijft een reeks minimale vereisten waaraan moet worden voldaan. Enkele van deze vereisten omvatten een risicoanalyse, beleid voor informatiebeveiliging, back-up en recovery, beveiliging van de toeleveringsketen, basispraktijken voor cyberhygiëne en cybersecuritytraining, beleid en procedures voor het gebruik van cryptografie en indien van toepassing, encryptie. Raadpleeg artikel 21, lid 2 van de Richtlijn voor een volledig overzicht.

Bovendien zal de Europese Commissie later specifieke maatregelen introduceren voor verschillende specifieke dienstverleners, waaronder DNS-dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputing diensten, datacentra, netwerkaanbieders en aanbieders van beheerde beveiligingsdiensten.

Aantoonbaar in control

Organisaties die met elkaar een rol spelen in een keten zullen elkaar steeds vaker gaan vragen of ze aantoonbaar voldoen aan de NIS2. We zien een paar mogelijkheden om dit aan te tonen. Je kunt bijvoorbeeld periodiek een auditrapport op laten stellen met als scope de NIS2 maar wellicht is het voor je organisatie efficiënter en effectiever om te werken volgens een erkend framework zoals de ISO27001, de Baseline Informatiebeveiliging Overheid (BIO) of de NEN7510 (Zorg) en je te laten certificeren. Door het behalen van een certificaat is het overleggen van een dergelijk certificaat in combinatie met de verklaring van toepasselijkheid (scope) veelal voldoende.

Cyberbeveiliging is niet iets dat je doet om aan een standaard te voldoen. Het is een essentieel aspect van de bescherming van je onderneming. Het risico dat grote incidenten zich voordoen en leiden tot omvangrijke schade (continuïteit in de operatie, imago, financieel) is aanzienlijk.

Hoe pak ik dit aan als bestuurder?

Als bestuurder kun je een aantal zaken in gang gaan zetten. Hieronder geven we alvast de belangrijkste stappen aan:

  1. Doe de check op de hierboven genoemde website en stel vast of je moet voldoen aan de NIS2.
  2. Zorg voor voldoende kennis door trainingen te volgen en te faciliteren.
  3. Implementeer risicomanagement. Maak een risico-inventarisatie en voer een risicoanalyse uit.
  4. Implementeer een Information Security Management System (ISMS) en beheersmaatregelen en gebruik daarvoor een erkende standaard zoals de ISO27001 en ISO27002. Start met de belangrijke elementen uit de NIS2:
    1. Bedrijfscontinuïteit zoals back-up en recovery.
    2. Incidentafhandeling.
    3. Trainingen en awareness op het gebied van informatiebeveiliging.
    4. Beveiliging van netwerk- en informatiesystemen inclusief respons op kwetsbaarheden.
    5. Inzicht en beveiliging van de toeleveranciersketen.
    6. Beleid en procedures over het gebruik van cryptografie en encryptie.
    7. Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
    8. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Tips

  • Zet risicomanagement ook vooral in om de proportionaliteit van de (te implementeren) beheersmaatregelen te bepalen. Zorg voor een kosteneffectieve inzet van de beheersmaatregelen.
  • Gebruik vooral bestaande en erkende standaarden. In deze standaarden worden al veel tips gegeven over de praktische implementatie en uitvoering van de nodige beheersmaatregelen.
  • Gebruik standaarden voor het monitoren van ketenpartners zoals de ISO27002. Deze standaard bevat onder andere maatregelen voor het beheersen van informatiebeveiliging van derden.
  • Zet tooling in die deze standaarden beschikbaar stelt en zorgt voor een krachtige PDCA-cyclus. Cybersecurity is geen eenmalige activiteit maar vraagt voortdurend aandacht en actie.

 

Welke vragen stel ik als toezichthouder?

Als toezichthouder wil je je comfortabel voelen dat je organisatie digitaal weerbaar is en voldoet aan de wettelijke vereisten. Niet alleen om boetes te voorkomen maar vooral omdat je veilig om wilt gaan met je personeelsgegevens, je bedrijfsgeheimen, (gevoelige) persoonlijke informatie van klanten et cetera. Met welke vragen kun je je bestuurders scherp houden en krijg je zelf de juiste informatie op tafel?

  1. Vallen we onder de reikwijdte van de NIS2? Ook als je organisatie niet onder de NIS2 valt zou je willen werken aan het optimaliseren van je digitale weerbaarheid en zijn bovenstaande stappen relevant.
  2. We moeten als toezichthouders voldoende kennis hebben van informatiebeveiliging. Hoe doen we dat?
  3. Wat is onze status nu met betrekking tot informatiebeveiliging? Zijn de verantwoordelijkheden belegd? Hebben we een werkend geïmplementeerd conform bijvoorbeeld de ISO27001? Werken we op basis van een erkende standaard met beheersmaatregelen zoals de ISO27002? Is er informatiebeveiligingsbeleid? Hoe volwassen zijn we met betrekking tot de NIS2 elementen?
  4. Hebben we risicomanagement geïmplementeerd? Waar zitten onze grootste risico’s op het gebied van informatiebeveiliging op dit moment en wat wordt daaraan gedaan?
  5. Is er een gedetailleerd plan van aanpak om ervoor te zorgen dat we tijdig aantoonbaar voldoen aan de NIS2? Hoe gaan we aantoonbaar voldoen aan de NIS2? Zijn daar voldoende middelen voor beschikbaar? Hoe monitoren we voortgang en zorgen we dat we tijdig bijsturen?
  6. Hebben we voldoende inzicht in de beveiliging van onze ketenpartners? Is de scope van certificeringen en/of audit rapportages van deze partners voldoende? Is geregeld dat we zelf een audit uit mogen laten voeren?
  7. Werken we efficiënt aan risicomanagement en informatiebeveiliging? Voeren we periodiek assessments uit op risico’s en beheersmaatregelen? Werken we aan verbetering? Zetten we hier tools voor in die overzicht, inzicht, rapportage, transparantie en een sterke PDCA-cyclus stimuleren of werken we met statische oplossingen zoals bijvoorbeeld Excel sheets?

 

Vragen?

Heb je vragen of wil je meer weten over NIS2 en Perium? Neem dan contact met ons op. We staan je graag te woord!

 

NIS2 voor bestuurders en toezichthouders