NIS 2.0: de consequenties voor bedrijven bij de invoer van deze nieuwe Europese richtlijn voor cybersecurity

Door de pandemie is digitalisering bij veel bedrijven in een enorme stroomversnelling geraakt. Daardoor neemt ook het aantal cyberaanvallen snel toe. Van de Universiteit Maastricht tot dierentuin ARTIS: geen organisatie lijkt nog veilig te zijn voor het loerende oog van cybercriminelen. Bedrijven kijken massaal naar de overheid. Moet zij niet meer doen om bedrijven in het land te helpen?

Tijdens Het Nationale Cybersecurity Debat, dat plaatsvond in juni 2022, kwam deze vraag ook naar voren. Daarbij borrelde tevens een ander vraagstuk op: is de overheid hier klaar voor?

Dit laat zien dat de druk op de overheid in de afgelopen tijd steeds groter werd. Dat gebeurde niet alleen op landelijk, maar ook op Europees niveau. Recentelijk heeft dit geleid tot een nieuwe richtlijn: de NIS 2.0. Deze is een stuk uitgebreider dan de NIS 1.0 en heeft ook voor bedrijven in Nederland en België consequenties.

Nóg meer richtlijnen? Er zijn er al zoveel

We kunnen ons voorstellen dat je denkt: nóg een richtlijn? We hebben er al zoveel.

Laten wij de nieuwe richtlijn daarom eens bespreken in de context van een aantal bestaande securityhulpmiddelen, -normen en -richtlijnen.

Allereerst zijn er de CIS Critical Security Controls en de adviezen rondom de basismaatregelen cybersecurity van het Nationaal Cyber Security Centrum. Wij kennen deze als zeer bruikbaar.

Binnen overheidsinstanties bestaat de BIO-norm en de financiële sector werkt met de Good Practice Informatiebeveiliging vanuit de Nederlandsche Bank.

Verder is de ISO 27001/2 voor veel organisaties geen onbekende norm. En de hiervan afgeleide NEN7510, die is toegespitst op informatiebeveiliging binnen de zorg, is inmiddels ook ingeburgerd geraakt.

De NIS-richtlijn (‘NIS’ staat voor ‘Network and Information Security’) uit 2016 is een richtlijn van de Europese Commissie. Het doel ervan is om een gemeenschappelijk niveau van beveiliging tot stand te brengen binnen alle lidstaten. De norm geldt voor organisaties die opereren binnen de vitale infrastructuur, zoals waterschappen en bedrijven in de energiesector.

Maar omdat cyberaanvallen toenemen in aantal en ook nog eens steeds geavanceerder worden, voelde de (Europese) overheid zich genoodzaakt om meer integrale maatregelen te nemen. Daaruit rolde onlangs een concreet voorstel om de NIS-richtlijn aan te passen.

Werk aan de digitale winkel: strengere securityeisen

Binnen afzienbare tijd moeten organisaties met meer dan 50 medewerkers en meer dan 10 miljoen omzet in diverse sectoren (waaronder financiële, gezondsheids- en overheidsinstellingen) kunnen aantonen dat zij voldoen aan de nieuwe richtlijn. Er is werk aan de digitale winkel, want de securityeisen gaan omhoog: de noodzakelijke maatregelen worden explicieter, het toezicht hierop wordt verscherpt en de boetes bij non-compliance stijgen substantieel. Daarnaast wordt het verplicht om verder te kijken dan alleen de eigen securityrisico's. Je dient óók de risico’s in de relaties met leveranciers in de toeleveringsketen (zoals managed service providers) in ogenschouw te nemen.

Een goede ontwikkeling, als je het ons vraagt.

Waarom wachten als cybercriminelen dat níet doen?

Staat NIS 2.0 al voor de deur? Om een wijsheid van de vroege twintigste eeuw’ erbij te halen: ‘er moet nog heel wat water door den Rijn lopen’ voordat het zover is. Het is nu namelijk aan de lidstaten om de Europese richtlijn te vertalen naar lokale wetgeving. Hiervoor hebben zij 18 maanden. Oftewel, in 2023 krijgen Nederlandse en Belgische bedrijven ermee te maken.

Maar waarom zou je hierop wachten? Cybercriminelen wachten ook niet totdat jij je security op het niveau hebt dat een norm of richtlijn voorschrijft. Zij begeven zich 24/7 in de virtuele wereld om grote én kleinere bedrijven in uiteenlopende sectoren te vinden waarop ze hun pijlen kunnen richten. Zijn er dus écht strengere toezichtmaatregelen nodig om je organisatie zo goed mogelijk tegen hen te beschermen? En de schade bij een eventueel incident te beperken?

Ons gezonde verstand gebiedt ons te zeggen dat je nu actie moet ondernemen. Bepaal óf jij te maken krijgt met de richtlijn en — nog belangrijker — doe een assessment van je digitale weerbaarheid. Op basis van de uitkomst kun je nu al passende maatregelen treffen.

Scherp je security aan: start met het stellen van de juiste vragen

Om je op weg te helpen, zetten we enkele vragen op een rij die je jezelf kunt stellen:

• Vallen wij nu al onder de NIS-richtlijn? Of krijgen we er binnenkort mee te maken
• Weten wij welke verscherpte securityeisen binnenkort op ons van toepassing zullen zijn?
• Hebben we goed inzicht in (mogelijke) securityincidenten en -dreigingen? Zo ja, kunnen we dit dan ook aantonen?
• Voldoen wij reeds aan andere normen die ons kunnen helpen met het voldoen aan NIS 2.0? Zo ja, welke basismaatregelen hebben we dan al genomen op securitygebied? En wat moeten we nog doen?
• Hebben wij zicht op de securityrisico’s van onze leveranciers?

Versterk je digitale weerbaarheid

Tegenwoordig sta je er als organisatie niet alleen voor wanneer je je digitale weerbaarheid wilt versterken. Er zijn veel hulpmiddelen en richtlijnen die je hier — al dan niet verplicht — bij helpen. Zóveel dat je het kaf van het koren moet scheiden.

Bij Wortell zorgen wij ervoor dat onze securitydiensten blijven aansluiten op de behoeftes van onze klanten. Wij houden de veranderende wereld continu scherp in de gaten. Zo ook NIS 2.0, die we nauwlettend volgen. Waar nodig breiden we bepaalde zaken — zoals onze use-case-bibliotheek en de rapportagemogelijkheden van onze Managed Detection and Response-dienst — uit op basis van de ontwikkelingen.

Vind je het lastig om bovenstaande vragen te beantwoorden? Of heb je hulp nodig om je antwoorden om te zetten in concrete acties? Neem gerust contact met ons op. Wij gaan graag met je in gesprek over jouw risico’s en mogelijkheden.