De regelgeving op het gebied van cyberbeveiliging in Europa is de afgelopen jaren ingrijpend veranderd, met een toenemende nadruk op veerkracht, verantwoordingsplicht en het vermogen om snel te herstellen van incidenten. Hier komt NIS2, de nieuwste richtlijn van de EU, om de hoek kijken. NIS2 bouwt voort op bekende kaders zoals de ISO 27000-serie en is ontworpen om risicobeheer, continuïteitsplanning en toezicht op de toeleveringsketen scherper in beeld te brengen. Het is meer dan een nalevingstaak: het is een verplichting voor organisaties om hun activiteiten van de basis tot aan de directiekamer te beveiligen. Nu elke lidstaat NIS2 omzet in nationale wetgeving, krijgen bedrijven te maken met nieuwe vereisten die grensoverschrijdend en sectoroverschrijdend zijn, waarbij het senior management verantwoordelijk wordt gesteld en snelle incidentrapportage wordt vereist. Daarom is het essentieel om de specifieke kenmerken van de richtlijn te begrijpen en vroegtijdig actie te ondernemen om ervoor te zorgen dat uw organisatie aan de compliance-eisen voldoet en veerkrachtig leiding geeft. Hier is wat u moet weten om voorop te lopen.
Een nieuwe laag van compliance: wat is er anders aan NIS2?
Wie al bekend is met de ISO 27000-serie, zal verschillende gemeenschappelijke principes van NIS2 herkennen, zoals de nadruk op risicobeheer en cyberbeveiligingsmaatregelen. NIS2 brengt echter aanvullende verplichtingen met zich mee die verder gaan dan de gebruikelijke eisen van ISO-certificering, met name door de verplichte houding ten aanzien van risicobeheer in de toeleveringsketen en cyberbeveiligingsbewustzijn, die nu geldt voor alle niveaus van het bedrijf.
Hieronder volgen enkele belangrijke verschillen die het vermelden waard zijn:
- Risicobeheer en bedrijfscontinuïteit: NIS2 gaat verder dan de meer algemene richtlijnen van ISO 27001 en formaliseert de noodzaak van een risicogebaseerde aanpak die een robuuste planning voor bedrijfscontinuïteit omvat.
- Supply chain risk management: De nieuwe richtlijn voorziet in strengere controle op de toeleveringsketen door derden, waarbij bedrijven verantwoordelijk worden gehouden voor de cyberbeveiligingspraktijken van hun aannemers en leveranciers.
- Bewustwording en training: NIS2 gaat verder dan de reguliere bewustwordingsvereisten met een specifieke vereiste voor cybersecuritytraining op bestuursniveau. Dit betekent dat senior leidinggevenden niet langer kunnen terugvallen op IT-, risico- of beveiligingsteams wanneer er beslissingen moeten worden genomen – zij moeten begrijpen wat er speelt en actief betrokken zijn.
Kortom, NIS2 legt de lat voor bestaande cyberbeveiligingsnormen hoger en benadrukt daarmee de ambitie van Europa om digitale infrastructuur niet alleen veilig te maken, maar ook veerkrachtig, betrouwbaar en beter in staat om te reageren op nieuwe bedreigingen.
Vier stappen om snel aan de slag te gaan met NIS2-compliance
Cybersecurity-experts hebben verschillende manieren onderstreept waarop organisaties hun reis naar compliance kunnen beginnen. Hier zijn vier stappen die elk bedrijf kan volgen om ervoor te zorgen dat ze voorop lopen:
- Controleer of NIS2 op u van toepassing is: De eerste, meest voor de hand liggende stap is om te controleren of NIS2 überhaupt gevolgen heeft voor uw bedrijf. De eenvoudigste manier om dit te begrijpen, is door te weten dat NIS2 bedrijven onderverdeelt in “essentiële” en “belangrijke” categorieën, elk met specifieke nalevingsverplichtingen. Essentiële entiteiten zijn doorgaans grote bedrijven in kritieke sectoren zoals energie en gezondheidszorg, terwijl belangrijke entiteiten middelgrote bedrijven zijn die toch economisch significant zijn. Als u meer dan 50 werknemers heeft of een omzet van meer dan € 10 miljoen, valt u onder deze regelgeving. Het eerste wat u dus moet doen, is een interne controle uitvoeren om te bepalen tot welke categorie u behoort en te weten welk niveau van toezicht van toepassing is. Voor multinationals is het van cruciaal belang om de specifieke regels in elk land te begrijpen.
- Bereid u voor op grensoverschrijdende registratie: NIS2 vereist dat betrokken organisaties zich registreren bij de autoriteiten in elk EU-land waar ze actief zijn, en elk land kan kleine verschillen in de regels hebben. Als u hier van tevoren rekening mee houdt, bespaart u uzelf zeker een hoop gedoe. Als u in meerdere regio’s actief bent, kan het de moeite waard zijn om samen te werken met experts die bekend zijn met zowel EU-richtlijnen als lokale regels, zodat u zeker weet dat u aan alle vereisten voldoet.
- Train het senior management: NIS2 legt de verantwoordelijkheid voor naleving bij het senior management, dus leidinggevenden hebben specifieke training nodig over deze nieuwe vereisten. Het gaat hierbij niet om technische vaardigheden, maar om een gedegen begrip van de eisen van NIS2 op het gebied van incidentrapportage, responsprotocollen en algemeen risicobeheer. Leidinggevenden die deze verantwoordelijkheden goed begrijpen, zullen een grote invloed hebben op de organisatie en de norm voor beveiliging binnen de hele organisatie bepalen.
- Stel protocollen op voor het melden van incidenten: NIS2 vereist dat cyberincidenten binnen 24 uur worden gemeld, dus het is van cruciaal belang om te beschikken over een goed geoefend, snel werkend meldingsproces. Stel een incidentresponsteam samen, test uw protocollen en overweeg het gebruik van geautomatiseerde systemen om detectie en waarschuwingen te stroomlijnen. Op die manier kan uw team incidenten snel documenteren en aan de meldingsvereisten voldoen zonder in de war te raken. Als u deze stappen ruim op tijd neemt, is de kans groter dat uw bedrijf een solide basis legt voor NIS2-compliance, waardoor de algehele robuustheid op het gebied van cyberbeveiliging wordt verbeterd..
Voldoen aan vereisten van meerdere landen
Een uitdaging waar veel bedrijven mee te maken hebben, is dat richtlijnen zoals NIS2, in tegenstelling tot verordeningen, niet in alle landen hetzelfde zijn: elke lidstaat mag zijn eigen uitvoeringswetgeving opstellen. Dit kan leiden tot mogelijke verschillen tussen landen. Zo zal het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) fungeren als centrale toezichthoudende autoriteit, terwijl Nederlandse bedrijven zich moeten melden bij de Rijksinspectie Digitale Infrastructuur (RDI). Beide instanties hebben vergelijkbare taken, maar kunnen de nalevingsvereisten enigszins verschillend interpreteren.
Er bestaat ook een kans dat er complicaties ontstaan met toeleveringsketens en externe leveranciers. NIS2 verplicht organisaties om de cyberbeveiligingspraktijken in hun toeleveringsketen te beoordelen, wat betekent dat bedrijven die leveren aan essentiële of belangrijke entiteiten in de EU zich mogelijk ook moeten aanpassen aan de NIS2-vereisten, zelfs als ze niet rechtstreeks aan de richtlijn gebonden zijn.
Voor niet-EU-bedrijven, met name bedrijven die via dochterondernemingen of leveranciers opereren, zou het voldoen aan de NIS2-vereisten een de facto norm kunnen worden om Europese klanten te behouden.
Wacht niet, onderneem nu actieait, act now
De verstrekkende eisen van NIS2 vestigen de aandacht op het belang van een proactieve cyberbeveiligingscultuur voor iedereen op wie deze van toepassing is. Het gaat om meer dan alleen het onderhouden van firewalls en het trainen van personeel op het gebied van phishing – het vereist een fundamentele verandering in de manier waarop bedrijven cyberbeveiligingsrisico’s beheren. Bestuursleden, leidinggevenden en operationele leiders zullen deze cultuur van bovenaf moeten stimuleren, waarbij zowel preventieve als reactieve beveiligingsmaatregelen prioriteit krijgen.
Op dit moment wordt de richtlijn nog omgezet in nationale wetgeving in de lidstaten, maar zodra deze in elk land van kracht is, zullen de nalevingsvereisten onmiddellijk van kracht worden. Bedrijven moeten daarom niet wachten met actie ondernemen. De EU heeft duidelijk gemaakt dat deze regelgeving strikt zal worden gehandhaafd, waarbij toezichthoudende autoriteiten bevoegd zijn om audits uit te voeren en boetes op te leggen bij niet-naleving.
Organisaties moeten NIS2 als een langetermijnstrategie beschouwen en cyberbeveiliging op elk operationeel niveau integreren om weerbaarheid tegen toekomstige bedreigingen op te bouwen. Bedrijven die al over robuuste informatiebeveiligingsmaatregelen beschikken, zoals bedrijven met een ISO 27001-certificering, bevinden zich in een sterke positie. Maar zelfs deze organisaties zullen aandacht moeten besteden aan de extra aandachtsgebieden van NIS2, waaronder monitoring van de toeleveringsketen, verplichte melding van incidenten en verantwoordingsplicht van het management. Niemand ontkomt eraan.
Voorbereiding op NIS2: belangrijke stappen voor naleving
Gezien de snelle ontwikkelingen op het gebied van cyberbeveiliging, moet naleving van NIS2 een belangrijke plaats innemen in de strategische planning van een organisatie. Hier volgt een kort overzicht van hoe u hiermee aan de slag kunt gaan:
- Bepaal of NIS2 van toepassing is op uw bedrijf en stel uw nalevingsroute vast.
- Plan voor registratie in meerdere landen en bereid uw regionale nalevingsstrategie voor.
- Implementeer een opleidingsprogramma voor het senior management om een top-downbegrip van cyberbeveiligingsverantwoordelijkheden bij te brengen.
- Ontwikkel ten slotte protocollen voor het melden van incidenten die aansluiten bij de 24-uursvereiste van NIS2.
Door deze stappen proactief te volgen, is uw bedrijf goed gepositioneerd om aan de eisen van NIS2 te voldoen, waardoor het risico op boetes wordt verminderd en uw reputatie als veilige en veerkrachtige zakenpartner wordt versterkt. Dit artikel is tot stand gekomen door de samenwerking van Andrea Krush (Nederland), Patric Lenhart (Duitsland) en Robin Herrmann (Zwitserland).
