NIS2 is een EU-richtlijn die zich richt om een hoog gemeenschappelijk niveau van cyberbeveiliging in de hele Europese Unie te bereiken. De richtlijn is in januari 2023 in werking getreden en verplicht de lidstaten om de richtlijn uiterlijk in oktober 2024 in nationale wetgeving om te zetten. De richtlijn bevat maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen. Als opvolger van de NIS-richtlijn bevat NIS2 strengere vereisten voor een breder scala aan actoren, waaronder een bredere reeks verplichte maatregelen voor het beheer van cyberbeveiligingsrisico's en nieuwe vereisten voor het melden van incidenten. De raad van bestuur zal een cruciale en actieve rol spelen bij het goedkeuren van maatregelen voor het beheer van cyberbeveiligingsrisico's. Het bestuur kan ook persoonlijk aansprakelijk worden gesteld. Niet-naleving wordt bestraft met boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
De volgende sectoren vallen onder het toepassingsgebied van de NIS2-richtlijn:
De Richtlijn is van toepassing op de organisaties die binnen deze sectoren vallen en minimaal 50 werknemers en/of minimaal een jaaromzet (en/of een jaarlijks balanstotaal) hebben van 10 miljoen euro. Daarnaast zijn er enkele specifieke gevallen waarin de grootte van de organisatie niet relevant is.
Organisaties die onder het toepassingsgebied van de NIS2-richtlijn vallen, zullen op zijn minst als "belangrijke entiteiten" worden beschouwd. Organisaties genoemd in categorie 1 die minimaal 250 werknemers en/of een jaaromzet hebben van 50 miljoen euro en/of een jaarlijks balanstotaal van 43 miljoen euro, worden echter beschouwd als "essentiële entiteiten". Essentiële entiteiten zullen te maken krijgen met strenger toezicht en handhaving dan belangrijke entiteiten.
Het is belangrijk om in een vroeg stadium in kaart te brengen of uw organisatie onder de reikwijdte van de NIS2-richtlijn valt en of uw organisatie als "essentiële entiteit" zal worden beschouwd.
Voor organisaties die onder de scope vallen, legt de NIS2-richtlijn verplichtingen op aan risicobeheer en rapportage. Omdat de Richtlijn nog moet worden omgezet in nationale wetgeving, erkent het NCSC dat er op dit moment nog enige onduidelijkheid bestaat over de specifieke verplichtingen waarmee organisaties te maken krijgen in het kader van NIS2. Op basis van Deloitte's analyse van de NIS2-richtlijn moet uw organisatie echter ten minste aandacht besteden aan de volgende belangrijke onderwerpen: risico-eigendom, beveiligingsvereisten, beveiliging van de toeleveringsketen en incidentrapportage.
Kernthema 1: risico-eigendom
Als onderdeel van NIS2 krijgt het bestuur een cruciale en actieve rol toebedeeld bij het waarborgen van de naleving van de verplichtingen op het gebied van risicobeheer. Volgens NIS2 moet het bestuur de door de organisatie genomen maatregelen voor het beheer van cyberbeveiligingsrisico's goedkeuren en toezicht houden op de uitvoering ervan. De richtlijn bepaalt dat het bestuur van essentiële entiteiten aansprakelijk kan worden gesteld (persoonlijke aansprakelijkheid) voor schending van hun plicht om toe te zien op de naleving van de richtlijn. Het bestuur is ook verplicht om een opleiding te volgen om voldoende kennis en vaardigheden te verwerven om hun verantwoordelijkheden uit te voeren.
Kernthema 2: beveiligingseisen
Artikel 21 van de NIS2-richtlijn bevat een lijst van maatregelen voor het beheer van beveiligingsrisico's die essentiële en belangrijke entiteiten moeten uitvoeren om netwerk- en informatiesystemen te beschermen. Deze maatregelen omvatten, maar zijn niet beperkt tot, incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken voor cyberhygiëne en beleid en procedures met betrekking tot het gebruik van versleuteling.
Kernthema 3: beveiliging van de toeleveringsketen
Als uw organisatie binnen het toepassingsgebied van NIS2 valt, is een van de maatregelen voor het beheer van beveiligingsrisico's, zoals hierboven vermeld, specifieke aandacht te besteden aan de beveiliging van de toeleveringsketen. Als onderdeel van deze maatregel moet uw organisatie de beveiligingsgerelateerde aspecten van haar relatie met haar leveranciers of serviceproviders aanpakken. Dit omvat de taak om kwetsbaarheden met betrekking tot elk van de leveranciers en dienstverleners te identificeren. Een ander aspect om naar te kijken is de kwaliteit van hun producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelingsprocedures.
Kernthema 4: incidentrapportage
In geval van een significant incident moeten essentiële en belangrijke entiteiten het Computer Security Information Response Team (CSIRT) of de bevoegde autoriteit van de overheid binnen 24 uur een vroegtijdige waarschuwing geven en binnen 72 uur een melding van een incident. Bovendien moeten de klanten van de organisatie op de hoogte worden gebracht van incidenten die waarschijnlijk een negatieve invloed hebben op de levering van die dienst. Significante incidenten worden gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financieel verlies voor de organisatie veroorzaken, en die aanzienlijke materiële of immateriële schade veroorzaken die gevolgen heeft voor andere personen of entiteiten.
De NIS2-richtlijn voorziet in zowel toezichts- als handhavingsmaatregelen. Essentiële entiteiten kunnen onder meer inspecties ter plaatse, off-site toezicht en beveiligingsscans verwachten. Belangrijke entiteiten kunnen dit echter alleen verwachten als er bewijs, aanwijzingen of informatie zijn dat de belangrijke entiteit de richtlijn niet zou naleven.
Handhavingsmaatregelen omvatten waarschuwingen, bindende instructies en administratieve boetes tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet van de organisatie. De bestuursorganen kunnen ook persoonlijk aansprakelijk worden gesteld en elke natuurlijke persoon die verantwoordelijk is voor de uitoefening van leidinggevende verantwoordelijkheden op algemeen directeur in een essentiële entiteit, kan tijdelijk worden verboden om leidinggevende functies in die entiteit uit te oefenen.
Als uw organisatie binnen het toepassingsgebied van de NIS2-richtlijn valt, is het van belang om vroeg met de voorbereidingen te beginnen, aangezien sommige van de hierboven genoemde belangrijke vereisten tijd kosten om te implementeren. Daarom adviseert Deloitte organisaties om voorafgaand aan het opstellen van de Nederlandse wetgeving te beginnen met de voorbereidingen door de veiligheid en weerbaarheid van hun processen en diensten te verbeteren.
Bij de voorbereiding op NIS2 moet uw organisatie rekening houden met andere EU-richtlijnen, -verordeningen en -wetten. Zo kan de richtlijn inzake de weerbaarheid van kritieke entiteiten (CER), de wet inzake cyberweerbaarheid (CRA), de AI-verordening en de wet inzake digitale operationele veerkracht (DORA) overlappen in verplichtingen met NIS2. Neem bijvoorbeeld de rapportageverplichtingen van de AVG die als basis kunnen dienen om rapportagemogelijkheden voor NIS2 te ontwikkelen. Door meerdere verordeningen tegelijk aan te pakken of voort te bouwen op reeds bestaande capaciteiten in overeenstemming met andere EU-verordeningen, kan dubbel werk worden voorkomen.
Deloitte kan uw organisatie helpen om NIS2 op een integrale manier aan te pakken. Onze aanpak is om de reeds bestaande capaciteiten binnen uw organisatie als basis te gebruiken om te werken aan NIS2-compliancy, rekening houdend met andere EU-regelgeving. Ook al is er nog wat onduidelijkheid over de implementatie van NIS2 in de Nederlandse wetgeving, wij kunnen u helpen bij het identificeren van de benodigde actiepunten om uw organisatie te helpen de eerste stappen te zetten. Onze aanpak omvat, maar is niet beperkt tot:
Wil je verder praten? Neem dan contact met ons op.