NIS 2.0
NIS 2.0: Versterking van Digitale Weerbaarheid in een veranderende Wereld
Nagenoeg alle sectoren kenden de afgelopen jaren een enorme digitale revolutie. Digitalisering zorgt voor versnelling, efficiënte, gemak, plezier en productiviteit. Digitalisering kent helaas ook een keerzijde. Namelijk, een toename van cyber criminaliteit. Vanuit verschillende motieven - vaak financieel - worden steeds meer organisaties steeds vaker aangevallen door cyber criminelen met alle vervelende gevolgen van dien.
Organisaties nemen dan ook in toenemende mate allerlei ad-hoc en gelukkig ook steeds meer structurele security maatregelen. Organisaties kijken daarnaast massaal naar de overheid en andere regelgevende instanties voor hulp en richtlijnen om hun digitale weerbaarheid te versterken. Hierbij blijft de vraag of de overheid klaar is voor deze groeiende uitdaging van snel veranderende cyber dreiging.
Deze ontwikkeling heeft mede geleid tot de ontwikkeling van een nieuwe richtlijn: NIS 2.0. Deze richtlijn is de opvolger van (verassend) de NIS 1.0 uit 2016 en is aanzienlijk uitgebreid ten opzichte van zijn voorganger. NIS 2.0 wordt merkbaar voor bij benadering 160.000 bedrijven binnen de Europese Unie.
Wat is NIS?
NIS staat voor Network and Information Security en is een richtlijn van de Europese Commissie. De eerste versie (NIS 1.0) uit 2016 was de eerste EU-richtlijn op het gebied van cyber security en had als doel om een gemeenschappelijk niveau van beveiliging te creëren binnen alle lidstaten, met name voor organisaties die opereren binnen de vitale infrastructuur, zoals waterschappen en energiebedrijven.
In 2018 is de richtlijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Rijksinspectie Digitale Infrastructuur is toezichthouder op deze wet. In 2019 is de richtlijn in België geïmplementeerd in de ‘Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (1)’. Het Centrum voor Cybersecurity België (CCB) verantwoordelijk voor het toezicht op deze wet.
Echter, gezien het toenemende aantal cyber aanvallen, die ook nog eens veel geavanceerde zijn dan voorheen, sluit de richtlijn niet goed meer aan bij het actuele dreigingslandschap. De Europese Unie zag zich genoodzaakt om meer uitgebreide maatregelen te nemen met de NIS 2.0 als logisch uitvloeisel.
Wat houdt NIS 2.0 in?
Kort samengevat, het doel van de richtlijn blijft hetzelfde; het creëren van een gezamenlijk niveau aan security maatregelen binnen de EU lidstaten in combinatie met het verbeteren van de samenwerking tussen de lidstaten. Om het niveau van cyber security binnen Europa te verhogen wordt het toepassingsbied uitgebreid met meer sectoren en diensten, die voor de economie en samenleving van een land als essentieel of belangrijk worden beschouwd; hij wordt dus voor veel meer sectoren van toepassing.De richtlijn is in januari 2023 in werking getreden en verplicht alle EU-lidstaten om de richtlijn uiterlijk in oktober 2024 om te zetten naar nationale wetgeving. Vanaf oktober 2024 dienen in de regel organisaties met minimaal 50 medewerkers en een minimale jaarlijkse omzet van 10 miljoen euro in diverse sectoren, waaronder financiën, gezondheid en overheidsinstellingen, te kunnen aantonen dat ze voldoen aan de nieuwe richtlijn. Op deze regel zijn enkele uitzonderingen, bijvoorbeeld een organisatie die volgens de richtlijn als ‘belangrijke entiteit’ is aangemerkt, maar minimaal 250 medewerkers en/of een jaaromzet van EUR 50 miljoen heeft, zal worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.
De eisen worden over het algemeen strenger, organisaties krijgen te maken met een meld- en zorgplicht, de security maatregelen zijn explicieter, het toezicht op naleving van de richtlijn wordt verscherpt en de boetes voor non-compliance stijgen aanzienlijk. Bovendien wordt het verplicht om niet alleen naar de eigen risico's te kijken, maar ook naar de risico's in de relaties met leveranciers binnen de toeleveringsketen, zoals bijvoorbeeld Managed service providers.
Welke sectoren krijgen met NIS 2.0 te maken?
Het gaat dus naar schatting om 160.000 organisaties in verschillenden sectoren, verspreid over heel Europa. Wanneer wij bijvoorbeeld alleen al kijken naar het Rotterdamse havengebied krijgen ongeveer 150 bedrijven binnen het Rotterdamse havengebied te maken met NIS 2.0. Onder NIS 1.0 was dit er maar 1. Organisaties met minimaal 50 medewerkers en een minimale omzet van 10 miljoen euro zijn ingedeeld in ‘Essentieel’ en ‘Belangrijk’. Voor beide gelden dezelfde eisen en rapportage verplichting, echter zullen het toezicht en de sancties voor organisaties die als essentieel zijn aangemerkt strenger zijn.
De volgende sectoren worden als ‘Essentieel’ beschouwd:
- Energie
- Transport
- Banken
- Ruimtevaart
- Gezondheidzorg en zorg-gerelateerd
- Drink – en afvalwater voorziening
- Afval water
- Digitale infrastructuren
- Overheidsdiensten
- Financiële instellingen
De volgende sectoren worden als ‘Belangrijk’ beschouwd
- Online marktplaatsen
- Online zoekdiensten
- Sociale netwerk diensten
- Voedingsmiddelen industrie, inclusief de distributie van voedingsmiddelen
- Afvalverwerking
- Post en koeriersdiensten
- Fabrikanten van chemische producten
- Fabrikanten van medische hulpmiddelen
- Fabrikanten van elektronische producten, machines, voertuigen en transprotmiddelen
Wat betekent de Zorgplicht?
Alle organisaties die als essentieel of belangrijk worden aangemerkt, krijgen dus te maken met een zogenaamde zorgplicht. Deze zorgplicht houdt in dat zij een reeks specifieke security maatregelen moeten implementeren om de veiligheid van hun netwerk- en informatiesystemen te waarborgen.
Enkele van de belangrijkste vereisten zijn:
Risico analyses: Organisaties zullen regelmatig een grondige risico analyse moeten uitvoeren om ervoor te zorgen dat ze voldoende aandacht besteden aan de beveiliging van hun informatiesystemen. Dit bevat ook het identificeren en evalueren van mogelijke kwetsbaarheden.
Security programma: Op basis van geïdentificeerde risico’s dienen organisaties te beschikken over een duurzaam en dynamisch securityprogramma. Dit programma bevat enerzijds een reeks technische en organisatorische security maatregelen en anderzijds een overzicht van security standaarden die aan leveranciers worden opgelegd. Organisaties dienen hun securityprogramma’s continu testen op effectiviteit.
Crisismanagement: In het geval van een geslaagde cyberaanval, dienen organisaties een up-to-date crisismanagementplan te hebben. Dit plan dient te beschrijven hoe ze operationele continuïteit kunnen waarborgen en effectief kunnen reageren op de crisis. Organisaties dienen hun plannen regelmatig testen op effectiviteit.
Veiligheid van toeleveringsketen: De zorgplicht strekt zich ook uit tot het waarborgen van de veiligheid van de toeleveringsketen. Dit betekent dat organisaties verantwoordelijk zijn voor het beoordelen en beheren van de security risico’s die voortvloeien uit de relaties met leveranciers.
Netwerk- en informatiesystemen: Organisaties moeten zich inzetten voor de veiligheid van hun netwerk- en informatiesystemen door middel van het nemen preventieve security maatregelen, zoals netwerksegmentatie, data encryptie, multifactor authenticatie, Identity & Access Management, Back-up en Recovery, vulnerability management, patchmanagement en security incident management.
Security awareness: Het management van een organisatie zal kennis moeten hebben van de genomen maatregelen, zal ze aantoonbaar moeten goedkeuren en zelf ook regelmatig security awareness trainingen moeten volgen.
Het is belangrijk op te merken dat de Europese Commissie het recht behoudt om deze maatregelen nader te specificeren en aan te vullen via gedelegeerde- en uitvoeringsbesluiten. Dit geeft lidstaten de flexibiliteit om specifieke maatregelen op te leggen, rekening houdend met nationale en sectorale omstandigheden.
Hoe nu verder?
Wij beschouwen dit allemaal als een positieve ontwikkeling. Het toont aan dat de overheid cyberdreigingen zeer serieus neemt en maatregelen neemt om organisaties te beschermen.
Ons gezonde verstand vertelt ons dat het nu tijd is om in actie te komen. Organisatie kunnen voor zichzelf bepalen of zij onder de NIS-richtlijn vallen, organisaties kunnen ervoor zorgen dat zij op de hoogte zijn van de aankomende eisen en organisaties kunnen aan de hand van een risico analyse en security programma een routekaart opstellen om uiteindelijk compliant te zijn aan de norm.
Er zijn inmiddels tal van hulpmiddelen beschikbaar voor het uitvoeren van een GAP-analyse en veel organisatie richten (een deel) van hun bescherming al in volgens normen zoals de Baseline Informatie Overheid (BIO), de Good Practice Informatiebeveiliging van de Nederlandsche Bank en normen als ISO27001 of NEN7510. Deze normen die kunnen helpen om sneller compliant te zijn aan NIS.
Wanneer een organisatie hulp nodig hebt bij het omzetten van deze inzichten in concrete acties, neem dan gerust contact met ons op. Bij Wortell beschouwen wij cyber security integraal, wij blijven onze securitydiensten uitlijnen op marktontwikkelingen en de behoeften van onze klanten. Compliance richtlijnen waaronder NIS 2.0 volgens wij nauwlettend en breiden onze diensten uit op basis van deze ontwikkelingen. Wortell kan organisaties helpen met hun compliance uitdagingen en te voldoen aan hun zorgplicht.
Van de uitvoer van een NIS 2.0 assessment, het opmaken van een duurzaam en dynamisch security programma, het implementeren van basis security maatregelen, het monitoren en detecteren van kwetsbaarheden en security incidenten tot aan het inrichten van duurzaam crisis management. Samen met de organisatie bepalen wij wat relevant en meest effectieve benadering is.
Tot slot, zou een richtlijn of zelfs een wet nu moeten bepalen of een organisatie wel of geen security maatregelen neemt? Security maatregelen neem je om een veilige en ononderbroken bedrijfsvoering te waarborgen en omdat je als organisatie als een goed huisvader met bedrijfsinformatie wilt omgaan? Het is ook niet verstandig om op een richtlijn te wachten. Cybercriminelen wachten immers niet tot een organisatie haar digitale weerbaarheid volgens een norm of richtlijn heeft ingericht. Ze zijn 24/7 actief en zoeken voortdurend naar kwetsbaarheden bij bedrijven in diverse sectoren.