NIS2-Richtlijn en de Cyberbeveiligingswet: Wat Nederlandse Organisaties Moeten Weten

De NIS2-richtlijn is de opvolger van de oorspronkelijke Europese richtlijn voor netwerk- en informatiebeveiliging. In Nederland wordt NIS2 geimplementeerd via de Cyberbeveiligingswet, die een aanzienlijk groter aantal organisaties raakt dan de voorganger. De wet stelt verplichtingen op het gebied van cybersecurity, incidentmelding en toezicht, en brengt forse boetes met zich mee bij niet-naleving.

Voor welke organisaties geldt NIS2?

NIS2 heeft een veel breder toepassingsgebied dan de oorspronkelijke NIS-richtlijn. De richtlijn onderscheidt essentiele en belangrijke entiteiten in sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuur, overheidsdiensten, waterbeheer, voedselproductie, post- en koeriersdiensten, afvalbeheer en de maakindustrie. Middelgrote en grote organisaties in deze sectoren vallen automatisch onder de wet. Ook kleinere organisaties kunnen onder NIS2 vallen als zij een cruciale rol spelen in de keten.

Kernverplichtingen onder NIS2

• •Passende technische en organisatorische cybersecuritymaatregelen treffen op basis van een risicoanalyse.
• •Beleid voor incidentafhandeling en crisismanagement opstellen en onderhouden.
• •Bedrijfscontinuiteit en herstelplannen inrichten, inclusief back-upbeheer.
• •Beveiliging van de toeleveringsketen waarborgen, inclusief eisen aan leveranciers.
• •Kwetsbaarheidsbeheer en -openbaarmaking formaliseren.
• •Regelmatige cybersecuritytrainingen voor medewerkers en het bestuur organiseren.
• •Significante incidenten binnen 24 uur melden bij de toezichthouder, gevolgd door een volledige melding binnen 72 uur.
• •Bestuurders zijn persoonlijk verantwoordelijk voor het toezicht op cybersecuritymaatregelen.

Bestuurdersaansprakelijkheid: een nieuw gegeven

Een van de meest opvallende aspecten van NIS2 is de expliciete bestuurdersaansprakelijkheid. Bestuurders moeten cybersecuritytrainingen volgen en zijn persoonlijk verantwoordelijk voor het goedkeuren en toezien op de naleving van cybersecuritymaatregelen. Bij nalatigheid kunnen zij persoonlijk aansprakelijk worden gesteld. Dit maakt cybersecurity definitief een bestuurskameronderwerp en niet langer alleen een zaak van de IT-afdeling.

De relatie met bestaande normen en kaders

Organisaties die al gecertificeerd zijn voor ISO 27001 of die voldoen aan sectorspecifieke normen zoals NEN 7510, hebben een voorsprong bij het implementeren van NIS2-vereisten. Veel van de gevraagde maatregelen overlappen met bestaande normen. Het is echter belangrijk om te controleren of er aanvullende eisen zijn, met name op het gebied van incidentmelding, supply chain security en bestuurdersverantwoordelijkheid. Een gap-analyse ten opzichte van de NIS2-vereisten is daarom sterk aan te raden.

Praktische voorbereidingsstappen

• •Bepaal of uw organisatie onder NIS2 valt als essentiele of belangrijke entiteit.
• •Voer een gap-analyse uit ten opzichte van de NIS2-vereisten.
• •Stel een cybersecuritybeleid op of herzie het bestaande beleid.
• •Implementeer een incidentresponsplan dat voldoet aan de meldtermijnen.
• •Breng uw toeleveringsketen in kaart en stel beveiligingseisen aan leveranciers.
• •Organiseer cybersecuritytrainingen voor bestuurders en medewerkers.
• •Plan regelmatige audits en oefeningen om de weerbaarheid te toetsen.

Expert ondersteuning bij NIS2 compliance

De breedte van NIS2 maakt het voor veel organisaties een uitdaging om zelfstandig aan alle verplichtingen te voldoen. IT-Audit Directory biedt een overzicht van auditors en cybersecurityspecialisten die organisaties begeleiden bij het implementeren van NIS2-maatregelen. Van gap-analyse tot volledige implementatiebegeleiding: vind de juiste specialist voor uw situatie.