Vanaf oktober 2024 is NIS2 wettelijk verplicht. Om organisaties te helpen bij de voorbereiding heeft het Nationaal Cyber Security Centrum een zelfevaluatietool gelanceerd. Door deze zelfevaluatie in te vullen kunnen organisaties bepalen of zij onder de NIS2-richtlijn vallen en of zij volgens de richtlijn worden gezien als “essentieel” of “belangrijk” voor het functioneren van de samenleving en/of de economie. Het niet voldoen aan deze wet kan leiden tot juridische gevolgen en mogelijke boetes. Daarom is het belangrijk om tijdig voorbereidingen te treffen en ervoor te zorgen dat je organisatie voldoet aan de eisen van NIS2.

Wat is NIS2?

De Network and Information Security Directive (NIS) is sinds 2016 van kracht binnen de Europese Unie. Deze richtlijn heeft als doel de beveiliging van vitale sectoren te versterken door middel van specifieke maatregelen en regels. Lidstaten moeten hiervoor een nationaal kader opzetten om de veiligheid en weerbaarheid van netwerk- en informatiesystemen te waarborgen. Dit omvat het identificeren van kwetsbaarheden, het vaststellen van beveiligingsmaatregelen en het organiseren van de coördinatie bij incidenten. Het uiteindelijke doel is om de digitale infrastructuur van de EU te beschermen tegen cyberdreigingen en ervoor te zorgen dat vitale diensten blijven functioneren, zelfs tijdens een cyberaanval.

Onzekerheden rond NIS1, en NIS2 als oplossing

De huidige NIS1-richtlijn blijkt onduidelijk te zijn over maatregelen en verantwoordelijkheden, en er is sprake van inconsistenties in naleving en sancties. Daarom is NIS2 geïntroduceerd als aanvulling op NIS1.

Onzekerheden in NIS1 zijn onder andere:

1. De onduidelijkheid in maatregelen en verantwoordelijkheden.

2. De inconsistenties in naleving en sancties.

3. De exacte gevolgen en juridische implicaties van het niet naleven.

4. De rol en verantwoordelijkheid van bestuurders op het gebied van informatiebeveiliging.

5. De impact van NIS1 op verschillende sectoren en leveranciers.

De specifieke maatregelen die organisaties moeten nemen om te voldoen aan de richtlijn.

Het doel is dat NIS2 deze punten verduidelijkt.

Belangrijkste punten van de NIS2-richtlijn

Met NIS2 zijn de sectoren duidelijker gedefinieerd. Naast vitale of essentiële sectoren vallen nu ook leveranciers binnen de scope. Dat betekent dat organisaties goede afspraken moeten maken met leveranciers over beveiliging. Het is belangrijk om goed samen te werken en te communiceren met leveranciers, zodat de benodigde beveiligingsmaatregelen gezamenlijk kunnen worden ingevoerd en onderhouden.

Een andere belangrijke verandering is dat bestuurders binnen organisaties aansprakelijk worden en moeten aantonen dat zij actief betrokken zijn bij informatiebeveiliging. Ze moeten een proactieve rol spelen, toezicht houden op beveiligingsmaatregelen en regelmatig controles en audits laten uitvoeren.

Daarnaast wordt het toezicht op naleving van beveiligingsregels intensiever. Er zullen strengere controles plaatsvinden om te verifiëren of organisaties voldoen aan de vereiste veiligheidsstandaarden. Vanaf oktober 2024 kunnen bestuurders die nalatig zijn strengere maatregelen verwachten, variërend van boetes tot juridische gevolgen.

Organisaties moeten deze veranderingen serieus nemen en zich goed voorbereiden op de nieuwe eisen.

Op wie is NIS2 van toepassing?

Op wie is NIS2 van toepassing?
NIS2 geldt onder meer voor vitale of essentiële sectoren die cruciaal zijn voor het functioneren van een land. Deze sectoren spelen een belangrijke rol in het waarborgen van basisbehoeften, essentiële diensten en de stabiliteit en veiligheid van de samenleving.

Voorbeelden van vitale/essentiële sectoren zijn onder andere:

1. vervoer

2. de energiesector

3. de financiële sector

4. gezondheidszorg

5. drinkwater- en afvalwaterbeheer

6. overheidssector

7. (digitale) infrastructuur

8. lucht- en ruimtevaart

Binnen de digitale infrastructuur vallen onder andere datacenters, netwerkhubs en internetknooppunten, die essentieel zijn voor moderne communicatie en digitale diensten.

Bij de uitvoering van NIS2 moet rekening worden gehouden met de omvang van organisaties. Zowel middelgrote als grote organisaties in deze sectoren moeten passende maatregelen nemen om cyberdreigingen te voorkomen en beperken.

Voorbereiden op de NIS2-richtlijn met de zelfevaluatietool

Het NCSC heeft een zelfevaluatietool gelanceerd om organisaties te helpen bij hun voorbereiding. Met deze tool kunnen organisaties bepalen of ze onder de richtlijn vallen, of ze als “essentieel” of “belangrijk” worden aangemerkt, en of ze voldoen aan de eisen van NIS2. Door de zelfevaluatie in te vullen kunnen organisaties tijdig maatregelen treffen om aan de nieuwe wet te voldoen. Bewustzijn van de mogelijke juridische gevolgen en boetes is daarbij belangrijk. Daarom wordt geadviseerd de zelfevaluatietool te gebruiken en te zorgen dat je organisatie klaar is voor NIS2.

Risicomanagement en maatregelen

Het nemen van passende maatregelen begint met risicomanagement: een systematische aanpak om risico’s te identificeren, beoordelen en beheersen.

Het is belangrijk om gebruik te maken van multidisciplinaire tools en standaarden om de kwaliteit en volledigheid van maatregelen te waarborgen.

Bij het bepalen van maatregelen moet rekening worden gehouden met de doelstellingen van de organisatie en de beschikbare middelen. Ook is het noodzakelijk om maatregelen periodiek te evalueren en waar nodig aan te passen.

Continue pentesting als effectieve NIS2-maatregel

Een belangrijk onderdeel van de beveiligingsmaatregelen is het continu pentesten van systemen. Pentesting wordt ingezet om te controleren of iemand met kwaadwillende intenties kan binnendringen. Waar pentesten vroeger incidenteel plaatsvonden en alleen werden gerapporteerd wanneer er iets werd gevonden, is in de huidige tijd regelmatige en continue pentesting essentieel.

Dit betekent dat systemen regelmatig getest moeten worden om te controleren of maatregelen nog effectief zijn en om nieuwe kwetsbaarheden tijdig te signaleren en op te lossen. Continue pentesting is noodzakelijk om te voldoen aan de NIS2-wetgeving, die specifiek gericht is op het waarborgen van de veiligheid van digitale systemen en netwerken. Bovendien helpt continue pentesting bij het herkennen van nieuwe dreigingen in een snel veranderend dreigingslandschap.

Samengevat: continue pentesting is essentieel vanwege de toenemende complexiteit van cyberdreigingen. Het biedt organisaties de mogelijkheid om proactief beveiliging te verbeteren en de risico’s op inbreuken en datalekken te minimaliseren.

Het digitale landschap beveiligen met NIS2: een continu proces

NIS2 is een belangrijke stap in het beter beschermen van de EU tegen cyberaanvallen. Organisaties in vitale sectoren moeten de juiste maatregelen nemen en zich bewust zijn van de impact van informatiebeveiliging op hun bedrijfsvoering. Continue pentesting is een cruciaal onderdeel om systemen veilig te houden en te voldoen aan de NIS2-richtlijnen. Door regelmatig pentests uit te voeren worden kwetsbaarheden sneller ontdekt en opgelost, waardoor de beveiliging van systemen en data sterker wordt.