NIS 2 komt eraan: dit is wat Britse organisaties moeten weten

Door Phil Muncaster • 4 July 2023

Het Verenigd Koninkrijk Regelgeving voor netwerk- en informatiesystemen (NIS). werd in mei 2018 van kracht, na de NIS-richtlijn van de EU uit 2016. Vanwege de timing van hun introductie concentreerden de meeste mediakanalen zich op het grotere verhaal van de dag: de komst van de nieuwe AVG. Maar bij het streven naar verbetering van de basisveiligheid onder “aanbieders van essentiële diensten” (OES) in kritieke infrastructuursectoren waren de NIS-verordeningen niet minder belangrijk.

De Britse NOS probeerde de ontwikkeling van een nationaal apparaat voor incidentbeheer verplicht te stellen, de informatie-uitwisseling tussen de lidstaten te verbeteren en het risicobeheer binnen de OES-gemeenschap te verbeteren. Maar tijd is de vijand van cyberbeveiligingsplanners, en de EU heeft onlangs een nieuwe versie goedgekeurd: de NIS2-richtlijn. Het zal van toepassing zijn op alle in het Verenigd Koninkrijk gevestigde OES-organisaties die in de EU actief zijn.

Nu heeft Groot-Brittannië het blok echter verlaten; zijn Het regelgevingsregime zal afwijken van NIS 2. Nog niet alles is volledig uitgewerkt, maar laten we eens kijken wat de implicaties zijn voor organisaties die zich in hun huidige vorm bevinden.

De lat hoger leggen voor EU-brede cyberbeveiliging

As Deloitte legt uit, NIS 2 is ontworpen met drie doelen voor ogen:

Verbeter de cyberveerkracht in een groeiend aantal OES-sectoren in de hele EU
Verminder de inconsistenties in de mate van veerkracht in sectoren die al onder de NIS vallen
Het delen van informatie verder verbeteren en nieuwe regels vaststellen voor de respons op incidenten, waardoor het vertrouwen tussen bevoegde autoriteiten (toezichthouders) wordt vergroot

Meer specifiek bevat het verschillende nieuwe elementen:

Een bredere reikwijdte: NIS 2 heeft betrekking op organisaties in nieuwe sectoren zoals telecom, sociale media, afvalwater en voedsel en zal van toepassing zijn op alle middelgrote en grote organisaties in de sectoren die worden beschouwd als aanbieders van “essentiële” of “belangrijke” diensten. Sommige organisaties uit de publieke sector zullen ook onder de regeling vallen.

Zwaardere boetes: Toezichthouders kunnen voor ernstige niet-naleving boetes opleggen van maximaal 2% van de jaaromzet, of € 10 miljoen (£ 8.6 miljoen), afhankelijk van wat het hoogste is.

Basisbeveiligingsvereisten: NIS 2 introduceert een minimumpakket aan maatregelen waaraan alle organisaties zich moeten houden. Deze omvatten:

Risicobeheer en informatiebeveiligingsbeleid
Incidentbeheer voor preventie, detectie en respons op cyberincidenten
Bedrijfscontinuïteit en crisismanagement
Supply chain-beveiliging
Testen en auditen van beveiligingsmaatregelen
Sterke encryptie

Beveiliging van de toeleveringsketen: Organisaties zullen verantwoordelijk zijn voor het beheersen van de cyberveiligheidsrisico’s in hun toeleveringsketens en voor het toezicht op de veiligheid van leveranciers.

Verantwoordelijkheid van de directeur: Het senior managementpersoneel zal verantwoordelijk worden gehouden voor de volwassenheid van hun beveiligingsfunctie. Ze moeten cyberbeveiligingstraining krijgen en dienovereenkomstig regelmatig risicobeoordelingen uitvoeren.

Incidentrapportage: Elk incident met mogelijk ernstige gevolgen moet binnen 24 uur na ontdekking aan de toezichthouder worden gemeld. Een volledig meldingsrapport moet na 72 uur worden verzonden, vóór een eindrapport een maand na het eerste incident.

Wat is er nieuw voor Groot-Brittannië?

In haar reactie op een oproep tot het indienen van voorstellen over voorstellen om de Britse cyberveerkracht te verbeteren, was de regering vrij ondubbelzinnig over NIS 2 en zei: “Gezien het feit dat Groot-Brittannië niet langer gebonden is aan EU-wetgeving en NIS 2 niet zal implementeren, zullen er verschillen zijn tussen de EU en Groot-Brittannië. De Britse wetgeving is ontworpen voor de Britse economie en om de voordelen voor het Verenigd Koninkrijk te maximaliseren.”

Wat betekent dit in de praktijk? Dit zijn de belangrijkste gebieden waarop de verschillen bestaan:

Managed Service Providers (MSP's): Groot-Brittannië zal het type digitale dienstverleners (momenteel beperkt tot zoekmachines, online marktplaatsen en cloudproviders) uitbreiden naar MSP's. Dit omvat aanbieders die:

B2B
Gericht op IT-diensten
Afhankelijk van netwerk- en informatiesystemen
Het verzorgen van regulier beheer en ondersteuning, actief beheer en/of monitoring van IT-systemen, infrastructuur, netwerk en/of beveiliging

Dit staat in contrast met NIS 2, dat verschillende nieuwe sectoren toevoegt aan de lijst die onder de verordening valt, waaronder telecom, sociale media en openbaar bestuur. Ook wordt de omvang van de organisatie strenger voorgeschreven, zodat alleen middelgrote en grote organisaties onder de regeling vallen.

Incidentmelding: Groot-Brittannië stelt voor dat een breder scala aan incidenten aan de toezichthouder wordt gemeld, inclusief incidenten die een hoog risico vormen voor een dienst of een aanzienlijke impact hebben, zelfs als ze deze niet verstoren.

NIS 2 bevat ook strengere vereisten voor het melden van “significante incidenten” – dat wil zeggen incidenten die aanzienlijke operationele verstoringen of financiële verliezen voor de getroffen entiteit of anderen hebben veroorzaakt of kunnen veroorzaken. Het schrijft ook voor dat de eerste rapportage binnen 24 uur moet plaatsvinden.

Vrijgestelde organisaties: Datacentra die niet gereguleerd zijn als cloudproviders zullen worden vrijgesteld, evenals softwareontwikkelaars en kleine/micro-bedrijven. De toezichthouder, de ICO, kan echter specifieke kleine/micro-digitale dienstverleners aanwijzen die binnen de reikwijdte vallen als deze essentieel worden geacht voor Britse kritieke diensten of de nationale veiligheid.

Digitale dienstverleners: De ICO zal een meer op risico gebaseerde aanpak hanteren bij het reguleren van digitale diensten, op basis van hoe cruciaal aanbieders zijn voor het leveren van essentiële diensten.

NIS 2 hanteert een strenger beleid, met potentieel hoge boetes voor niet-naleving door OES-aanbieders.

Toekomstbestendige NIS: De Britse regering behoudt zich het recht voor om de regelgeving in de toekomst te wijzigen na raadpleging van het publiek, mogelijk door nieuwe sectoren toe te voegen die van cruciaal belang worden geacht voor de economie.

Wat je moet doen

Britse organisaties moeten eerst beslissen wat op hen van toepassing is: NIS 2, de gewijzigde NIS-regelgeving in Groot-Brittannië of beide, aldus Marija Nonkovic, advocaat bij Burges Zalm.

“Hoewel er overeenkomsten zijn tussen de twee regimes, zullen de verschillen resulteren in een zekere mate van divergentie, waardoor organisaties die actief zijn in de EU en het VK hun verplichtingen op het gebied van cyberbeveiliging zorgvuldig moeten beoordelen”, legt ze uit.

“Bedrijven moeten de tijd nemen om in een vroeg stadium de juiste middelen toe te wijzen om ervoor te zorgen dat er passende beveiligingsmaatregelen zijn getroffen om zich te beschermen tegen cyberdreigingen, en om de veerkracht in het licht van een cyberaanval te behouden om te voorkomen dat ze de kosten en reputatieschade oplopen die kunnen voortvloeien uit cyberveiligheidsincidenten.”

De uitdaging zal de timing zijn. NIS 2 is op 16 januari 2023 in werking getreden en moet uiterlijk op 17 oktober 2024 door de lidstaten zijn geïmplementeerd. Volgens juridische experts is het echter onwaarschijnlijk dat er vóór 2024 een nieuw NIS-reguleringsregime van kracht zal zijn.

“Een verschil in de timing van de implementatie zal de kosten waarschijnlijk tot op zekere hoogte verhogen, omdat bedrijven die actief zijn in zowel het Verenigd Koninkrijk als de EU twee keer tijd en middelen zullen moeten besteden aan nalevingsoefeningen in plaats van één keer”, stelt advocatenkantoor. Travers Smith. Het valt nog te bezien of de Britse divergentie de regeldruk voor binnenlandse bedrijven daadwerkelijk zal verminderen, zoals de regering hoopt.

Dus wat gebeurt er daarna?

Zoals EY adviseert, bedrijven die onder NIS 2 vallen, moeten hun informatiebeveiligingsrisico's beheersen. Het implementeren van een Information Security Management System (ISMS) is de beste manier om dat te doen. Dit zal helpen het proces voor het voldoen aan normen als ISO 27001 en ISO 22301 te stroomlijnen, wat op zijn beurt een goed raamwerk kan bieden voor het voldoen aan NIS 2.

Voor degenen die zich vooral richten op de NIS-regelgeving, zou een soortgelijke aanpak ook de basis leggen voor naleving. Voor meer informatie heeft het National Cyber Security Center (NCSC), dat fungeert als het computer security incident response team (CSIRT) en het single point of contact (SPOC) voor NIS-incidenten, ook een rapport vrijgegeven handige gids. Het is Cyber Assessment Framework (CAF)-collectie is een andere nuttige hulpbron.

Maak uw organisatie klaar voor succes

Als u naleving van NIS 2 wilt bereiken en uw reis naar betere informatie- en cyberbeveiliging wilt beginnen, kunnen wij u helpen.

Download onze essentiële gids voor NIS 2, lees meer en wapen uzelf met het inzicht dat u nodig heeft om voorop te blijven lopen en ervoor te zorgen dat uw organisatie klaar is voor succes.

Nu downloaden

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster