Eerder schreven we over de achtergrond en context van de NIS2 en wat het voor organisaties zal betekenen. In dit derde deel gaan we in op de eisen die de NIS2 stelt, en wat de relatie is ten opzichte van bestaande informatiebeveiligingsnormen. We gaven eerder al aan dat de zorgplicht vanuit de NIS2 veel overlap vertoond met de reeds bestaande informatiebeveiligingsnormen. In dit artikel beschrijven we die overlap. We beschouwen de overeenkomsten en verschillen tussen de NIS2 en de BIO/NEN7510.
Een van de belangrijkste artikelen uit de NIS2 is artikel 21 lid 2, waarin een tiental maatregelen worden voorgeschreven om te zorgen dat organisaties goed beschermd zijn tegen cyberaanvallen en andere bedreigingen voor de bedrijfscontinuïteit. Vrijwel al deze maatregelen staan ook beschreven in de BIO/NEN7510 en andere aanverwante informatiebeveiligingsnormen. Dat betekent dat organisaties die volgens de normen werken voor een groot deel al voldoen aan de NIS2. Met andere woorden, organisaties die al heel volwassen zijn in werken volgens een informatiebeveiligingsnorm zullen dus weinig moeten doen om aan artikel 21 uit de NIS2 te voldoen. Terwijl minder volwassen organisaties nog heel veel stappen moeten zetten.
Om precies te zien hoe de BIO, NEN7510 en de NIS2 zich tot elkaar verhouden, hebben we verschillende mappings gemaakt die onderaan dit artikel te downloaden zijn. Voor overheidsorganisaties hebben we er nu voor gekozen om een mapping te maken gebaseerd op de ISO27001 en niet op de BIO. Er wordt namelijk gewerkt aan een nieuwe versie van de BIO, de nieuwe BIO2.0, welke wordt gebaseerd op de NIS2 [1].
De NIS2-wetgeving brengt echter ook nieuwe verplichtingen met zich mee. Het gaat hier voornamelijk over:
Deze onderwerpen komen ook al voor in de bestaande informatiebeveiligingsnormen, maar worden hier aangescherpt. Dat is naar ons inzicht een goede zaak. Dit zijn immers thema’s waar veel organisaties nog grote risico’s lopen [2].
|
|
NIS2 |
BIO/NEN7510 |
| Verantwoordelijke aansprakelijkheid | Bestuurders zijn (eind)verantwoordelijk voor de informatiebeveiligingsorganisatie en de werking ervan. De verantwoordelijkheid voor informatiebeveiliging staat expliciet in wetgeving. Er is speciale aandacht en een verplichting voor het kennisniveau van bestuurders over informatiebeveiliging. |
De directie is verantwoordelijk voor de informatiebeveiligingsorganisatie en de werking ervan. De verantwoordelijkheid voor informatiebeveiliging is niet expliciet vermeld in wetgeving. Er is aandacht voor kennis en bewustwording in algemene zin, maar geen specifieke verplichting voor het kennisniveau van bestuurders over informatiebeveiliging. |
| Meldplicht | Organisaties zijn verplicht significante incidenten te melden. |
Er is geen formele meldplicht (al worden er vaak wel informele meldingen gedaan aan bijvoorbeeld Z-Cert en de IBD). |
| Bedrijfscontinuïteit | De NIS2 is opgezet met doel om de verstoring van bedrijfsvoering te voorkomen. |
Bedrijfscontinuïteit is onderdeel van de bestaande normen. |
| Samenwerking | De NIS2 is opgezet om (inter)nationale samenwerking op het gebied van informatiebeveiliging te stimuleren en faciliteren. |
Bestaande normen hebben een maatregel om contact te hebben met speciale belangengroepen of gespecialiseerde beveiligingsfora (CSIRTS). |
| Toezicht | Toezichthouders mogen, actief en passief, toezicht houden op het naleven van de wet. In de wet is opgenomen welke consequenties toezichthouders mogen opleggen aan organisaties die er niet aan voldoen. |
De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de implementatie van de NEN7510 in de zorg. Zorgorganisaties kunnen zich laten auditten. Voor de BIO is er geen formeel toezicht ingeregeld. Er is geen BIO-certificering. |
Hieronder gaan we kort in op de extra verplichtingen.
Het eerste verschil is dat de NIS2 nadruk legt op de verantwoordelijkheid en aansprakelijkheid van het bestuur van een organisatie op het gebied van informatiebeveiliging. Niet eerder werd de verantwoordelijkheid van informatiebeveiliging zo expliciet bij het bestuur belegd. In de richtlijn staat dat bestuursorganen de maatregelen uit artikel 21 moeten goedkeuren, toezien dat ze worden uitgevoerd en dat ze aansprakelijk worden gesteld wanneer er een incident plaatsvindt. Bovendien moet het bestuur een opleiding volgen op het gebied van informatiebeveiliging. Ze moeten namelijk goed geïnformeerde keuzes maken over risico’s en beheersmaatregelen op het gebied van cyberveiligheid, en weten wat de gevolgen kunnen zijn wanneer maatregelen niet adequaat worden uitgevoerd.
Er zit wel een belangrijke nuance in de aansprakelijkheid. Er wordt veel gesproken over de hoofdelijke aansprakelijkheid van bestuurders. Vrijwel alle verplichtingen uit de NIS2/Cbw vallen echter onder de bestuurlijke aansprakelijkheid. Toezichthouders kunnen immers alleen bestuurlijke boetes en maatregelen opleggen. Hetgeen waar bestuurders wel hoofdelijk aansprakelijk voor zijn, is het voldoen aan de opleidingsplicht.
Een tweede verschil tussen de NIS2 en eerdere regelgeving is de ingevoerde meldplicht. Deze verplichting vertoont sterke gelijkenissen met de meldplicht voor datalekken zoals beschreven in de Algemene Verordening Gegevensbescherming (AVG), maar dan voor informatiebeveiligingsincidenten in het algemeen (en niet enkel voor een incident met persoonsgegevens). Het idee van een meldplicht is dus niet nieuw, maar wel een nieuwe stap in het informatiebeveiligingsdomein.
Organisaties die onder de NIS2 vallen moeten binnen 24 uur na een incident een waarschuwing uitgeven, gevolgd door een formele melding binnen 72 uur inclusief een evaluatie van de ernst en gevolgen. Het eindverslag, met details over het incident, oorzaken, genomen maatregelen en eventuele grensoverschrijdende gevolgen, moet binnen één maand na deze melding worden ingediend. Deze strikte tijdlijnen benadrukken de urgentie van snelle en grondige rapportage om de gevolgen van cybersecurity-incidenten te beperken en toekomstige incidenten te voorkomen.
Ten derde is de NIS2 in het leven geroepen om organisaties beter weerbaar te maken tegen incidenten en crises om zo de bedrijfscontinuïteit te waarborgen wanneer de IT-dienstverlening is onderbroken. In de bestaande normen is continuïteit ook al opgenomen, maar daarbij is het perspectief genomen van de IT-organisatie. De NIS2 pakt juist de invalshoek van de primaire bedrijfsvoering en wat er moet gebeuren om deze draaiende te houden. De focus van de NIS2 is dus bedrijfscontinuïteit, terwijl de focus van de bestaande normen meer op IT-continuïteit is gericht.
De NIS2 legt verder de focus op een collectieve aanpak en algeheel betere samenwerking op het gebied van informatiebeveiliging. Het staat nog niet vast hoe dit precies zal worden ingevuld, maar het is al wel bekend dat de computer security incident response teams (CSIRTs) hier de centrale rol in gaan spelen. CSIRTs zijn teams van experts die verantwoordelijk zijn voor het beheren van en reageren op cybersecurity-incidenten, en organisaties helpt snel en effectief bedreigingen aan te pakken. De nadruk ligt vooral op het uitwisselen van informatie over informatiebeveiliging, cybersecurity, kwetsbaarheden en andere relevante informatie. Het doel is om organisaties beter in staat te stellen om zich voor te bereiden tegen nieuwe dreigingen en kwetsbaarheden die kunnen leiden tot incidenten.
In bestaande informatiebeveiligingsnormen staat deze samenwerking al beschreven, maar nu het gefaciliteerd zal worden zal de drempel voor organisaties waarschijnlijk lager worden om hieraan te voldoen.
Een ander belangrijk onderdeel van de NIS2 zijn artikel 32 en 33, waarin wordt beschreven wat de toezichts- en handhavingsmaatregelen zijn met betrekking tot respectievelijk essentiële en belangrijke entiteiten. Hoewel toezicht op de informatiebeveiligingsnormen op zich niet nieuw is, is de manier waarop dit nu wettelijk is vastgelegd met bijbehorende consequenties wel nieuw.
In de NIS2 wordt uitgebreid beschreven wat toezichthouders mogen en kunnen. Het komt erop neer dat ze bij essentiële organisaties proactief toezicht houden door middel van inspecties, audits en scans. Bij belangrijke organisaties mogen ze reactief toezicht houden wanneer een organisatie mogelijk niet aan de richtlijn voldoet. Hierbij mogen ze dezelfde maatregelen opleggen, alleen de maximale boete is lager. Voor de overheid en overheidsdiensten zal deze rol zeer waarschijnlijk worden vervuld door de Rijksinspectie Digitale Infrastructuur (RDI) en voor de zorg de Inspectie gezondheid en jeugd (IGJ).
Kortom: er is veel overlap tussen bestaande informatiebeveiligingsnormen en de NIS2. De grote verschillen zijn de concretere aansprakelijkheidsregels en de meldplicht. De meeste punten uit de meldplicht zijn inherent niet nieuw. Het blijkt dat de impact van de NIS2 voor organisaties die al werken volgens de bestaande richtlijnen (zoals BIO of NEN7510) beperkt zal zijn.
Als je organisatie nog niet werkt volgens bestaande normen of nog een laag volwassenheidsniveau heeft, is er nog flink werk aan de winkel. Daarin geeft de NIS2 kansen: de wetgeving kan momentum creëren, waarbij bestuurders beseffen dat ze nu toch echt stappen zullen moeten zetten om hun informatiebeveiliging op orde te krijgen.
Dit was het derde artikel in onze reeks over de NIS2. Binnenkort verschijnt het laatste artikel, waarin we ingaan op welke stappen je moet nemen om aan de NIS2 te gaan voldoen.
[1] Stand van zaken BIO2.0 - BIO-overheid
[2] Het moet wel worden benadrukt dat dit gebaseerd is op de consultatiewet en dus nog aan verandering onderhevig kan zijn. Pas als de wet is ingetreden kunnen er concrete uitspraken worden gedaan.
In deze serie podcasts van M&I/Partners nemen Ralph Wagter en Tobias van Oerle u in 20 minuten mee in de wereld van informatiebeveiliging en de nieuwe privacywetgeving, de AVG/GDPR. Luister de eerste podcast: De AVG/GDPR na 25 mei.
Lees verderIn de tweede aflevering van onze serie podcasts over de AVG gaan Ralph en Tobias in op de vraag ‘Wat vinden jullie van de AVG?’. Slaan we met z’n alle door in privacy? Leidt de AVG tot meer bureaucratie en mogen we steeds minder?
Lees verder
