NIS 2: Wat de voorgestelde wijzigingen voor uw bedrijf betekenen

Door Rebecca Harper • 9 april 2023

In december 2022, de Europeese Unie bevestigden dat zij vooruitgang boeken met plannen om de reikwijdte van de Netwerk- en Informatiesysteemrichtlijn (NIS) uit te breiden tot outsourcers en managed service providers.

Er is een reeks hervormingen en updates van de richtlijn netwerkinformatiesystemen (NIS) doorgevoerd om de cyberveerkracht verder te versterken. De nieuwe naam NIS 2 zal aanbieders van uitbestede IT en managed service providers (MSP's) binnen de reikwijdte van de regels brengen om vitale toeleveringsketens en kritieke nationale diensten beter te beschermen tegen cyberaanvallen na de aanzienlijke verstoringen van de afgelopen jaren.

In een persbericht zei de EU-Raad dat hij “de basis zal leggen voor cyberveiligheidsrisicobeheersmaatregelen en rapportageverplichtingen in alle sectoren die onder de richtlijn vallen, zoals energie, transport, gezondheidszorg en digitale infrastructuur.”

Voor het niet naleven van de NOS-regelgeving kunnen bedrijven die essentiële diensten leveren zoals energie, gezondheidszorg, transport of water een boete krijgen van maximaal £17 miljoen in Groot-Brittannië en €10 miljoen of 2% van de wereldwijde omzet in de EU.

Wat is de Netwerkinformatiesystemenrichtlijn (NIS) en waarom is deze bijgewerkt? 

De EU heeft in 2016 de Netwerk- en Informatiesystemenrichtlijn (NIS) gelanceerd naar aanleiding van de toegenomen bezorgdheid over cyberaanvallen. Naast het versterken van de cyberbeveiligingscapaciteiten van de lidstaten hoopte de richtlijn de samenwerking op het gebied van cyberbeveiliging tussen de lidstaten te vergroten. Het moedigde staten ook aan om toezicht te houden op de cyberbeveiliging van hun kritieke nationale infrastructuur (CNI), zoals energie, transport en gezondheidszorg.

Zeven jaar na de lancering van de richtlijn is het cyberdreigingslandschap aanzienlijk veranderd en voldoet de richtlijn niet helemaal aan de behoeften van de zich ontwikkelende cyberveiligheidsrisicovooruitzichten voor 2023. Cyberaanvallen en datalekken zijn exponentieel toegenomen, vooral omdat mensen steeds afhankelijker worden van digitale technologie. Bovendien tonen de toegenomen aanvallen op CNI, zoals te zien bij de SolarWinds-aanval, lacunes in de oorspronkelijke NIS-wetgeving en inconsistenties in de manier waarop lidstaten NIS hebben geïmplementeerd, de beperkingen van het vorige model en de noodzaak van een meer omvattende vervanging.

Wat zijn de kernvereisten van de NIS 2-richtlijn?

NIS 2 zal de problemen met de eerdere NIS-wetgeving aanpakken en de regels aanscherpen. Het belangrijkste is dat dit te maken heeft met de inconsistente manier waarop de oorspronkelijke NIS-richtlijn ten uitvoer werd gelegd, aangezien deze de samenwerking tussen landen ingewikkeld maakte en het algemene doel van het waarborgen van de effectiviteit van de cyberbeveiliging van de EU ondermijnde.

NIS 2 vereist dat organisaties ervoor zorgen dat de volgende maatregelen worden getroffen om cyberbeveiligingsrisico's te beheersen:

Informatiebeveiligingsbeleid

Een cruciaal onderdeel van cyberbeveiliging is het beoordelen van uw risiconiveau. NIS 2 vereist dat bedrijven de potentiële impact van een aanval op hun meest vitale activa evalueren en alert zijn op potentiële netwerkkwetsbaarheden of nieuws over andere leden uit de branche die worden aangevallen. Ze zullen ook een proactieve in plaats van reactieve benadering van risicobeheer moeten hanteren door het introduceren van sterke risico's informatiebeveiligingsbeleid om een systematische en grondige risicoanalyse te garanderen.

Incidentpreventie, detectie en respons

NIS 2 vereist dat organisaties over plannen en back-upplannen beschikken, oefeningen uitvoeren en alle relevante partijen trainen. Zodra een organisatie de belangrijkste kwetsbaarheden heeft geïdentificeerd, verplicht de bijgewerkte richtlijn hen om duidelijke procedures te implementeren om aanvallen te voorkomen en overeenstemming te bereiken over methoden om potentiële incidenten op te sporen. Dit zou moeten resulteren in een incident response plan met een transparante commandostructuur voor de implementatie.

Bedrijfscontinuïteit en crisisbeheersing

De bijgewerkte NIS 2 is bedoeld om ervoor te zorgen dat: bedrijf kan zijn activiteiten voortzetten in het geval van een cyberaanval. Organisaties moeten een verifieerbaar plan hebben voor hoe het bedrijf op een aanval zal reageren en hoe het er zo snel mogelijk van kan herstellen, waarbij de verstoring tot een minimum wordt beperkt. Als gevolg hiervan omvat NIS 2 een focus op cloudback-upoplossingen.

Beveiliging van de toeleveringsketen

Supply chain-beveiliging ligt wereldwijd al enige tijd onder de loep. NIS 2 versterkt dit nog eens en vereist dat organisaties rekening houden met de kwetsbaarheden van al hun leveranciers en dienstverleners en hun cyberbeveiligingspraktijken, inclusief aanbieders van gegevensopslag. De richtlijn zorgt ervoor dat organisaties de risico's duidelijk begrijpen, een nauwe relatie met leveranciers onderhouden en de beveiliging voortdurend bijwerken om de hoogst mogelijke bescherming te garanderen. 

Openbaarmaking van kwetsbaarheden

NIS 2 vereist een transparanter openbaarmaking en beheer van kwetsbaarheden. Organisaties moeten manieren bieden waarop het publiek eventuele kwetsbaarheden kan melden en ervoor zorgen dat de relevante afdeling op basis van deze informatie handelt. Als een organisatie een kwetsbaarheid binnen hun netwerk identificeert, verplicht de bijgewerkte richtlijn hen om deze openbaar te maken. Het openbaar maken van dergelijke kwetsbaarheden zal de strijd tegen cybercriminaliteit ondersteunen en ervoor zorgen dat deze niet elders worden uitgebuit.

NIS 2 zal ook bijgewerkte benaderingen opleggen voor:

Incidentrapportage

Volgens de bijgewerkte richtlijn moeten bedrijven binnen 24 uur nadat zij zich bewust zijn geworden van een “significant” incident een eerste rapport indienen, binnen 72 uur een volledige incidentmelding en binnen een maand een eindrapport indienen bij de relevante bevoegde autoriteit, het Computer Security Incident Response Team ( CSIRT), en soms ook aan hun klanten.

Een “significant” incident is elk incident dat een ernstige operationele verstoring van de dienst of financiële verliezen heeft veroorzaakt of kan veroorzaken, of dat aanzienlijke verliezen voor anderen heeft beïnvloed of kan veroorzaken.

Samenwerking

De eerste NIS-richtlijn faalde omdat daarin geen rekening werd gehouden met de verschillende manieren waarop individuele landen opereerden. Daarom zal NIS 2:

Stimuleer meer gegevensuitwisseling tussen autoriteiten
Vereisen dat autoriteiten deelnemen aan de respons op incidenten op EU-niveau in plaats van op nationaal niveau
Een EU-Cyber Crisis Liaison Organization Network (EU CyCLONe) opzetten, een centraal orgaan dat de reacties op EU-brede cyberincidenten coördineert en beheert

Door de cyberbeveiligingscontroles op EU-niveau te centraliseren en te verplichten dat iedereen zich aan dezelfde cyberbeveiligingsnormen houdt, wil NIS 2 een voorheen ondergecoördineerd systeem vereenvoudigen. Dit moet het gezamenlijk delen van gegevens en efficiëntere oplossingen voor cyberincidenten vergemakkelijken zodra deze zich voordoen.

Wie moet voldoen aan NIS 2?

NIS 2 is van toepassing op elke organisatie met meer dan 50 werknemers en een jaaromzet van meer dan € 10 miljoen, en op elke organisatie die voorheen onder de oorspronkelijke NIS-richtlijn viel.  

De bijgewerkte richtlijn zal ook het toepassingsgebied vergroten en de volgende nieuwe industrieën omvatten:

Elektronische communicatie
Digitale diensten
Tussenruimte
Afvalbeheer
Eten
Kritische productproductie (dwz medicijnen)
Postdiensten
Openbaar bestuur

Industrieën die in de oorspronkelijke richtlijn waren opgenomen, blijven binnen de reikwijdte van de bijgewerkte NIS 2-richtlijn. Sommige kleinere organisaties, die van cruciaal belang zijn voor het functioneren van een lidstaat, zullen ook onder de NIS 2-opdracht vallen vanwege de potentiële problemen die zouden kunnen ontstaan als een cyberaanval hen zou treffen.

Is NIS 2 van toepassing op Britse bedrijven?

De Britse regering hebben bevestigd dat ze verder zullen gaan met plannen om de NIS-regelgeving, zoals deze van toepassing is op Groot-Brittannië, bij te werken, en de regelgeving uit te breiden tot alle digitale beheerde serviceproviders (MSP's).

Als onderdeel van deze geplande Britse update zal er op veel gebieden afstemming plaatsvinden met NIS 2, vooral waar dit van toepassing is op leveranciers van beheerde diensten, IT-outsourcing en kernvereisten zoals incidentrapportage, beveiliging van de toeleveringsketen en bedrijfscontinuïteit.

De Britse update “zal worden gemaakt zodra de parlementaire tijd het toelaat” en maakt deel uit van de £2.6 miljard ($3.2 miljard) van de regering. Nationale cyberstrategie. Dus hoewel de veranderingen in het Verenigd Koninkrijk misschien pas in 2024 van kracht worden, zijn die er niet garanties, en bedrijven moeten goed voorbereid zijn, in plaats van later tekort te schieten.

Wat zijn de gevolgen als u niet voldoet aan NIS 2? 

NIS 2 kent veel strengere handhavingseisen dan zijn voorganger. De straffen voor non-conformiteit variëren van een veiligheidsaudit en het bevel om vastgestelde aanbevelingen op te volgen, tot boetes van €10 miljoen of 2% van de totale wereldwijde omzet van de organisatie – afhankelijk van welke van deze cijfers hoger is.

Opvallend is dat deze boetes dezelfde zijn als die welke zijn opgelegd voor GDPR schendingen, en NIS 2 moet op dezelfde manier worden geïnterpreteerd. Het NIS 2-initiatief vertegenwoordigt een aanzienlijke sprong voorwaarts op het gebied van cyberbeveiliging en moet net zo serieus worden behandeld als de enorme verandering die de AVG op het gebied van gegevensbescherming heeft veroorzaakt.

Een op standaarden gebaseerde benadering van NIS 2

Voor organisaties die willen voldoen aan NIS 2, certificering tegen ISO 27001 voor informatiebeveiliging zou een krachtige eerste stap kunnen zijn.

De NIS-regelgeving zelf vermeldt dat bij elke stap die bedrijven ondernemen om hieraan te voldoen rekening moet worden gehouden met “naleving van internationale normen”, terwijl de technische richtlijnen van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) elke beveiligingsdoelstelling in kaart brengen aan verschillende best practice-normen, waaronder ISO 27001 . 

Een ISO 27001-conform informatiemanagementsysteem (ISMS) stelt organisaties in staat hun risico's en blootstelling aan veiligheidsbedreigingen te verminderen door het relevante beleid te identificeren dat ze moeten documenteren, de technologieën om zichzelf te beschermen en de opleiding van het personeel om fouten te voorkomen. Ze verplichten organisaties ook om jaarlijks risicobeoordelingen uit te voeren, waardoor ze het steeds veranderende risicolandschap een stap voor kunnen blijven.

ISO 27001 helpt organisaties te voldoen aan de NIS 2-vereisten en tegelijkertijd een onafhankelijk gecontroleerde certificering te behalen. Dit levert leveranciers, belanghebbenden en toezichthouders het bewijs dat u de “passende en evenredige” vereiste technische en organisatorische maatregelen heeft genomen en toont een concurrentievoordeel op de markt aan.

Organisaties die nog een stap verder willen gaan, kunnen overwegen om dit toe te voegen ISO 22301 voor het beheer van de bedrijfscontinuïteit. ISO 22301 is ontworpen om u te helpen bij het implementeren, onderhouden en voortdurend verbeteren van uw benadering van bedrijfscontinuïteit. Hoewel sommige aspecten van ISO 27001 bedrijfscontinuïteitsmanagement (BCM) omvatten, definieert deze geen proces voor de implementatie van BCM. Dat is waar de aanvullende norm ISO 22301 in beeld komt. Certificering op basis van deze norm zou de naleving van NIS 2 verder aantonen. 

Ook 27001 en ISO 22301 werken goed samen, waardoor u ruimte krijgt om een geïntegreerd managementsysteem te ontwikkelen dat zowel een ISMS als een BCMS omvat. Deze aanpak zal u ook helpen een sterke cyberweerbaarheid te ontwikkelen.

NIS 2 Conclusies

Na de publicatie van de EU NIS 2-richtlijn in het Publicatieblad van de Europese Unie is de richtlijn op 20 december 2022 in werking getreden. De lidstaten hebben 21 maanden de tijd om de bepalingen in hun nationale wetgeving op te nemen.

De tijdlijnen voor implementatie in Groot-Brittannië zijn minder duidelijk, waarbij de Britse regering zich ertoe verbindt de noodzakelijke wetgeving naar voren te brengen “wanneer de parlementaire tijd dit toelaat”. Gezien de huidige prioriteiten van de regering verwachten we dat het nieuwe regime niet eerder dan 2024 van kracht zal zijn.

Maak uw organisatie vandaag klaar voor succes met ISO 27001

Als u naleving van NIS 2 wilt bereiken en uw reis naar betere informatie- en cyberbeveiliging wilt beginnen, kunnen wij u helpen.

Download onze essentiële gids om meer te lezen en uzelf te wapenen met het inzicht dat u nodig heeft om voorop te blijven lopen en ervoor te zorgen dat uw organisatie klaar is voor succes.

Download

Informatiebronnen

ENISA – https://www.consilium.europa.eu/en/press/press-releases/2022/11/28/eu-decides-to-strengthen-cybersecurity-and-resilience-across-the-union-council- neemt-nieuwe-wetgeving aan/
GOV.uk – https://www.gov.uk/government/publications/national-cyber-strategy-2022
NCSC – https://www.ncsc.gov.uk/collection/caf/nis-introduction

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.