Door de voortdurende en snelle evolutie van cyberdreigingen is het niet langer voldoende om eenmalige beschermingsmaatregelen te implementeren. In plaats daarvan is het in onze steeds digitalere wereld van cruciaal belang om voortdurend maatregelen te nemen en te verbeteren om de weerbaarheid tegen cyberaanvallen te vergroten. Dit is precies het doel van de Network and Information Systems Directive 2 (NIS2), die verplicht stelt zich tot het uiterste in te spannen om schade door een cyberdreiging te voorkomen en hoofdelijke aansprakelijkheid voor verantwoordelijken introduceert indien zij niet kunnen aantonen dat ze het maximale hebben gedaan.
Drie kerndoelen van NIS2
1. Verhoging van Cyberweerbaarheid: De NIS2 legt regels op die zowel publieke als private organisaties verplichten om cybersecuritymaatregelen te treffen als ze cruciale taken voor de economie en samenleving vervullen. Dit omvat ook het midden- en kleinbedrijf (MKB) dat actief is binnen de vastgestelde sectoren.
2. Vermindering van Inconsistenties: De richtlijn beoogt inconsistenties in cyberweerbaarheid op de Europese interne markt te verminderen door de scope uit te breiden, veiligheidsvereisten te verhogen, regels voor het melden van incidenten aan te scherpen, nationaal toezicht en handhaving te verbeteren, en de capaciteiten van de autoriteiten van de lidstaten te versterken.
3. Verhoging van Bewustzijn: De NIS2 streeft naar een verbeterd niveau van gezamenlijk bewustzijn en collectief vermogen om zich voor te bereiden en te reageren. Dit omvat maatregelen zoals het vergroten van het vertrouwen tussen bevoegde autoriteiten, het delen van informatie en het opstellen van regels en procedures bij grootschalige incidenten of crises.
Verantwoordelijkheden van organisaties onder de NIS2
De NIS2 is een Europese richtlijn. Sinds januari 2023 werkt de Nederlandse overheid aan de vertaling naar nationale wetgeving. Dit ingrijpende en complexe proces vereist uiterste zorgvuldigheid, aangezien de impact op Nederlandse organisaties aanzienlijk is. Organisaties die buiten de scope vallen, zullen waarschijnlijk geen directe gevolgen ondervinden. Voor diegenen binnen de scope – waaronder dus ook MKB’s – is het echter van cruciaal belang om voorbereid te zijn.
Bedrijven binnen de scope wordt aangeraden om verklaringen van informatiebeveiliging, zoals SOC 2 of ISAE 3402, te hebben. Deze verklaringen tonen aan in welke mate een organisatie voldoet aan internationaal erkende informatiebeveiligingsnormen.
Daarnaast moeten organisaties maatregelen implementeren om te voldoen aan de minimale eisen van cyberbeveiliging onder de NIS2. Dit omvat beleid voor risicoanalyse, incidentenbehandeling, bedrijfscontinuïteit, beveiliging van de toeleveringsketen, en meer.
Bestuursleden die verantwoordelijk zijn voor informatiebeveiliging binnen een organisatie, wordt sterk aangeraden een opleiding te volgen over informatiebeveiliging. Zoals eerder vermeld, zijn ze hoofdelijk aansprakelijk als blijkt dat ze in gebreke zijn gebleven. Dit benadrukt het belang van bewustzijn en betrokkenheid op alle niveaus van de organisatie.
Dit artikel is tot stand gekomen in samenwerking met Marc Servaes, directeur NewIT. Waar TIAG ondermeer actief is in het vlak van business continuity richt NewIT zich ook op NIS2.