De NIS2 uitgelegd: wat moet je ermee?


De NIS2-wetgeving komt eraan! Eerder schreven we al over deze wet die voor veel onrust zorgt in de zorg- en overheidssector. Vandaag volgt deel twee van de serie over de NIS2. We onderzochten de richtlijn en het blijkt dat de impact van de NIS2 voor organisaties die al werken conform de bestaande richtlijnen (zoals BIO of NEN7510) beperkt is. Als je organisatie nog niet werkt volgens die normen of nog een laag volwassenheidsniveau in informatiebeveiliging heeft, is er nog flink werk aan de winkel.

Wanneer de vertaling naar de Nederlandse wet rond is zal blijken welke actiepunten er exact uit volgen voor Nederlandse organisaties. Dat betekent echter niet dat je als organisatie nu simpelweg moet afwachten. De Europese wettekst is beschikbaar en geeft kaders over wat organisaties te doen staat. In dit artikel lichten we de richtlijn alvast voor je toe en wordt helder wat de context is, wat er extra verwacht wordt ten opzichte van bestaande normen en wat de impact daarvan zal zijn.

Verplichtingen van de NIS2

De tekst van de Europese Unie waarin de NIS2 wordt beschreven is maar liefst 73 pagina’s lang. Voor organisaties is het belangrijkste hierin dat er een set verplichtingen wordt vastgesteld. Deze lichten we hieronder toe. Het is waarschijnlijk dat organisaties al in zekere mate voldoen aan verplichtingen van de NIS2 vanuit andere wettelijke voorschriften, zoals sectorspecifieke afgeleiden van de ISO27001. Organisaties die daarentegen nog niet werken volgens bestaande beveiligingsnormen moeten veel werk verzetten.

Hoofdelijke aansprakelijkheid

In artikel 20 van de richtlijn staat de eerste verplichting vermeld, namelijk de hoofdelijke aansprakelijkheid van bestuurders. Dit betekent dat bestuurders verantwoordelijk zijn voor het nemen van passende maatregelen om de veiligheid van hun netwerk- en informatiesystemen te waarborgen en om incidenten te voorkomen of de impact ervan te beperken. Bij het niet naleven van deze verplichtingen kunnen deze actoren hierop worden geattendeerd of aansprakelijk worden gesteld voor eventuele schade die voortvloeit uit cybersecurity-incidenten met mogelijke sancties als gevolg. Deze aansprakelijkheid kan een organisatie concreet maken door het bestuur te betrekken bij het informatiebeveiligingsbeleid en de directieverklaring. Zij stelt deze stukken vast en ondertekend ze. Zo wordt de betrokkenheid van het bestuur aangetoond.

Een ander deel van de hoofdelijke aansprakelijkheid is dat bestuurders over voldoende kennis en vaardigheden moeten beschikken om informatiebeveiligingsrisico’s en -maatregelen voor de bedrijfsvoering te kunnen beoordelen. Wanneer bestuurders deze kennis niet hebben, moeten ze een training volgen om hier kennis van te nemen. Bepaal dus of de bestuurders in jouw organisatie voldoende kennis hebben en biedt hen training aan als dit nog niet het geval is.

Zorgplicht

Artikel 21 van de NIS2 is het artikel dat waarschijnlijk voor de meeste onrust zorgt. Hier worden namelijk de maatregelen uitgelicht die organisaties moeten nemen om zichzelf risicogericht te beschermen tegen incidenten. In de richtlijn zijn tien categorieën aan maatregelen benoemd waarvoor de organisatie zorg moet gaan dragen. Het goede nieuws? Deze maatregelen zijn niet nieuw. Ze zijn te herleiden tot maatregelen uit de ISO27001 en ISO27002, of afgeleide sectorspecifieke informatiebeveiligingsnormen. De kans is dus al groot dat er een aantal maatregelen al geïmplementeerd zijn. De zorg is immers sinds 2017 verplicht om aan de NEN7510 te voldoen. De BIO is sinds 2020 van kracht. Daarvoor waren er ook al informatiebeveiligingsnormen vereist in de overheid. Wanneer je aan de slag gaat met de NIS2 zal je dus merken dat je niet bij nul hoeft te beginnen.

Hoewel alle maatregelen belangrijk zijn, is er toch een onderscheid te maken in prioriteit. Bij de NIS2 ligt de nadruk vooral op incidentenbehandeling, bedrijfscontinuïteitsbeheer en toeleveringsketenbeveiliging. Bovendien benadrukt de NIS2 hier ook het belang van risicomanagement en continue verbetering van beheersmaatregelen om beveiligingsmaatregelen te selecteren, prioriteren en controleren. Mocht je nog niet weten wat de maatregelen uit de zorgplicht precies inhouden, kijk dan naar de ISO27001 en ISO27002 om een beeld te krijgen van wat er gedaan moet worden. Later schrijven we meer over deze vergelijking.

Meldplicht

Daarnaast spreekt de NIS2 van meldplicht. Zorg- en overheidsorganisaties kennen al meldplichten op het gebied van datalekken en veiligheidsincidenten op de werkvloer, maar meldplicht in de context van informatiebeveiliging is nieuw. Deze plicht toont veel overeenkomsten met de datalekkenmeldplicht zoals die is beschreven in de AVG. Het idee is bij beide regelingen hetzelfde, de specificaties zijn echter verschillend.

Artikel 23 van de NIS2 stelt dat organisaties die onder de NIS2 vallen significante incidenten die nadelige invloed kunnen hebben op de dienstverlening moeten melden. Een significant incident wordt beschouwd als een ernstige verstoring van operationele diensten die mogelijk financiële verliezen voor de organisatie veroorzaakt, of waarbij personen schade hebben geleden of kunnen lijden. In Nederland zullen er verschillende toezichthouders worden aangesteld waar verschillende sectoren hun meldingen kunnen doen. Welke dat zijn is nog niet bekend.

Verder zijn er ook eisen gesteld aan de meldplicht. Zo moeten organisaties binnen 24 uur dat ze kennis hebben gekregen van het incident een eerste waarschuwing doen aan de aangestelde toezichthouder. In de waarschuwing staan de eerste bevindingen van mogelijke oorzaken en potentiële gevolgen. Binnen 72 uur moet er een incidentmelding worden gemaakt met de eerder benoemde punten, een beoordeling van het incident en de ernst en gevolgen ervan. Uiterlijk één maand na de indiening van de uitgebreidere melding moet het eindverslag van het incident zijn ingediend met een gedetailleerde beschrijving van het incident, de grondoorzaak, de genomen mitigerende maatregelen om toekomstige voorvallen te voorkomen en eventueel grensoverschrijdende gevolgen van het incident. Stel dat het incident nog loopt op het moment dat het verslag ingeleverd dient te worden, dan moet het eindverslag worden ingeleverd uiterlijk één maand na het afronden van het incident.

Volgorde meldplicht de NIS2-Wetgeving

Volgorde meldplicht de NIS2-Wetgeving

Gelukkig zijn overheids- en zorgorganisatie gewend om informatie over incidenten met elkaar te delen. Zo melden gemeenten regelmatig dreigingen en incidenten bij de Informatiebeveiligingsdienst van de VNG [1]. Zorgorganisaties zijn ook vaak aangesloten bij een CSIRT. Organisaties die gewend zijn meldingen te delen zullen merken dat zij de processen rondom meldingsplicht in de basis al georganiseerd hebben. Mocht jouw organisatie het proces nog niet hebben vastgesteld, ga hier dan snel achteraan.

Registratieplicht

Hoewel dit een relatief kleine activiteit is, is het registreren van je organisatie bij het NCSC belangrijk. De overheid moet namelijk kunnen aantonen welke organisaties in Nederland onder de NIS2 vallen. Organisaties zijn zelf verantwoordelijk om zich te melden. Op het moment van publicatie van dit artikel is het nog niet mogelijk om jezelf te registreren. Houd daarom het NCSC goed in de gaten.

Samenwerking binnen de NIS2

Een centraal thema binnen de NIS2 is samenwerken. Door de hele richtlijn worden opties beschreven hoe organisaties, al dan niet gefaciliteerd door de overheid, kennis en informatie kunnen delen omtrent cybersecurity. Dit is geen verplichting in de NIS2-richtlijn, maar wordt wel sterk aangemoedigd. Op die manier is het bijvoorbeeld mogelijk om hele sectoren tijdig te informeren van dreigingen.

Een groot onderdeel van deze samenwerking worden de Computer Security Incident Response Teams (CSIRTs) genoemd, denk hierbij bijvoorbeeld aan Z-CERT voor de zorg, het NCSC voor de rijksoverheid, de IBD voor gemeenten en SURFcert voor de onderwijs- en onderzoeksector. Zij nemen de regie in het verzamelen en delen van informatie en kennis over cybersecurity binnen hun eigen sector, tussen sectoren en in sommige gevallen zelfs over de grens. Voor organisaties is het dus erg interessant om zich aan te sluiten bij een CSIRT om zo op de hoogte te blijven van relevante trends en ontwikkelingen. Het is echter nog niet vastgelegd welke CSIRTS worden aangewezen om deze taak te vervullen, dus welke het worden kan nog aan verandering onderhevig zijn.

Hoe groot is de impact van de NIS2?

Als organisaties al lang bezig zijn met de implementatie van bestaande informatiebeveiligingsnormen en hier grotendeels aan voldoen, is de impact van NIS2 beperkt. Hoewel organisaties moeten voldoen aan bepaalde verplichtingen, zijn veel van deze vereisten al opgenomen in bestaande normen zoals de NEN7510/BIO.

Echter, enkele nieuwe aspecten van de NIS2 kunnen wel meer impact hebben. De opleiding voor bestuurders en de meldplicht voor significante incidenten zijn nieuw en vereisen extra inspanningen. Gelukkig hoef je niet alles alleen te doen en worden er sectorspecifieke netwerken ingericht voor samenwerking en het delen van informatie.

Ook is het belangrijk om te noteren dat nog niet alle zorg- en overheidsorganisaties even volwassen zijn op het gebied van informatiebeveiliging, ook al bestaan er al langere tijd informatiebeveiligingsnormen. Sommige organisaties zijn pas de afgelopen jaren echt werk gaan maken van informatiebeveiliging. Zij zullen op het gebied van de NEN7510 of BIO vaak nog extra stappen moeten zetten. Daardoor zullen zij ook meer werk moeten verzetten om te voldoen aan de NIS2. Tegelijkertijd creëert de wetgeving ook een momentum: de NIS2 maakt de toch al bestaande verplichting om je informatiebeveiliging op orde te hebben, nog sterker!

Al met al is de NIS2 voornamelijk een uitbreiding en formalisering van bestaande praktijken op het gebied van informatiebeveiliging. Het is belangrijk voor organisaties om de nieuwe verplichtingen zorgvuldig te evalueren en te zorgen voor naleving, terwijl ze tegelijkertijd kunnen profiteren van de reeds geïmplementeerde maatregelen en structuren.

In het derde deel van de reeks gaan we op zoek naar de overeenkomst tussen bestaande informatiebeveiligingsnormen en de NIS2: hoe relateert de een tot de ander?

Misschien vind je dit ook interessant om te lezen: De achtergrond en context van NIS2




Terug naar het overzicht

Training: alles over de nieuwe wetgeving NIS2 voor zorgbestuurders

Met de invoering van de NIS2-richtlijn zijn er nieuwe verplichtingen die je helpen om de cyberveiligheid van jouw organisatie te versterken. Maar wat betekent dit voor jou en jouw organisatie?

Dat ontdek je bij onze training NIS2 in de boardroom, speciaal gericht op bestuurders in de zorg, op woensdag 13 november van 15:00 tot 20:00 inclusief diner.

Lees meer

Gerelateerde publicaties

Wat is u eigenlijk een DPIA? Wat is de bedoeling van een DPIA? Waarom is een DPIA opgenomen in de AVG? Hoe moet je een DPIA uitvoeren en waar kan je morgen mee starten? Luister de vierde podcast van Tobias van Oerle en Ralph Wagter van M&I/Partners en krijg antwoord op deze vragen.

Lees verder

De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.

Lees verder