NIS2

Verhoog je cyberweerbaarheid met NIS2: Aanbevelingen voor een succesvolle implementatie

Artikel Cyber Security & Privacy

De afgelopen jaren is gebleken dat onze samenleving kwetsbaar is voor cyberincidenten. Daarom richt de EU zich nu op het versterken van de cyberweerbaarheid van organisaties met de nieuwe NIS2-richtlijn, die in Nederland bekend zal staan als de Cyberbeveiligingswet.

Deze richtlijn, een uitbreiding van de oorspronkelijke NIS-richtlijn (de Wet beveiliging netwerk- en informatiesystemen, Wbni), versterkt de beveiliging van essentiële diensten en digitale aanbieders binnen de EU door beveiligingsverplichtingen en meldingsvereisten uit te breiden, en strengere sancties op te leggen voor niet-naleving. Het doel? Een hoger niveau van netwerk- en informatiebeveiliging waarborgen en kritieke infrastructuren beschermen tegen cyberdreigingen.

Momenteel is de NIS2-richtlijn nog niet omgezet in nationale regelgeving in Nederland. De consultatie is begin juli 2024 afgerond, en de overheid is bezig met de verwerking van deze informatie. De verwachting is dat de wetgeving pas in 2025 volledig van kracht zal zijn in Nederland. Echter, de ervaring met eerdere wetgeving leert dat dit geen uitstel betekent voor organisaties die uiteindelijk aan de wetgeving moeten voldoen.

Start met de implementatie van de NIS2 zorg- en meldplicht door een risicoanalyse uit te voeren op basis van de hoofdlijnen van het Digital Trust Center en good practices.

BIO-maatregelen en NIS2-richtlijn: overeenkomsten en verschillen

Wat betreft de BIO (Beveiligingsnormen voor Informatie en Organisatie), is er al meer duidelijkheid. De huidige BIO-maatregelen en de NIS2-richtlijn richten zich beide op het versterken van cyberweerbaarheid. Een eerste gap-analyse tussen de BIO en NIS2 is uitgevoerd, en voorbereidingen voor BIO 2.0 zijn al getroffen. Daarnaast zijn er goede praktijkvoorbeelden beschikbaar van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) die nuttig kunnen zijn voor elke organisatie die haar cyberbeveiliging wil verbeteren.

Begin met de implementatie van de NIS2-richtlijn

Wil je beginnen met de implementatie van de NIS2 zorgplicht en meldplicht? Dan is het belangrijk om een risicoanalyse uit te voeren en deze te baseren op de hoofdlijnen van het Digital Trust Center en de kennis uit good practices. Om je implementatie succesvol te maken, zijn er drie randvoorwaarden die je in gedachten moet houden:

  1. Eigenaarschap creëren
  2. Impact analyseren 
  3. Aantoonbaarheid “by design” 

1. Eigenaarschap creëren

Het is cruciaal dat verantwoordelijkheden duidelijk binnen de organisatie worden belegd. Dit kan leiden tot discussies en aandachtspunten. Denk hierbij aan:

  • Hoe zorg je ervoor dat verantwoordelijkheden op het juiste niveau worden belegd en nagevolgd?
    Cyberweerbaarheid en -veiligheid zijn organisatiebrede kwesties. De NIS2 legt de nadruk op bestuurlijke verantwoordelijkheid, wat kan leiden tot nieuwe aansprakelijkheden. Zorg ervoor dat de portefeuillehouder en het topmanagement betrokken zijn en op de hoogte blijven van de risico’s en voortgang.
    Top tip: Begin met een training op bestuurlijk niveau. Dit draagt bij aan eigenaarschap én het is een NIS2 verplichting.
  • Hoe ga je om met eigenaarschap voor organisatiebrede onderwerpen, zoals 3rd party risk management?
    Het beheren van organisatiebrede onderwerpen vereist regie. Creëer een centrale structuur die decentrale eigenaren ondersteunt zonder hun rol over te nemen. De inhoudsdeskundigen zijn een helpende hand, zonder de rol van de eigenaar over te nemen. Zorg voor standaardisatie en automatisering om dit proces te faciliteren.
    Top tip: Zorg voor standaardisatie in de uitvoering en begeleid eigenaren met duidelijke procesafspraken.

2. Impact analyseren

Het is belangrijk om te begrijpen wat de impact van maatregelen en incidenten op de organisatie is:

  • Is het duidelijk welke aanvullende inspanningen nodig zijn? Maatregelen moeten overal waar de organisatie verantwoordelijk voor is worden toegepast, ook bij leveranciers en onderaannemers. Stuur op uitkomsten met behulp van KPI’s en monitor de risico’s die deze partijen vormen. Top tip: Maak afspraken gericht op uitkomsten van maatregelen, via KPI’s, om een doorlopend overzicht van prestaties te verkrijgen.
  • Zijn er duidelijke samenwerkingsafspraken bij incidenten, zowel intern als extern? Controleer of er duidelijke afspraken zijn over incident response en crisis management, zowel intern als met belangrijke 3e partijen. Zorg ervoor dat je goed voorbereid bent op het melden en beheren van incidenten. Top tip: Maak concrete afspraken over besluitvormingsmandaten en meldingsprocedures met 3e partijen.

3. Aantoonbaarheid “by design”

De NIS2-richtlijn verhoogt de vereisten voor aantoonbaarheid:

  • Voor de zorgplicht: Is er een consistente vastlegging van de uitkomsten van de maatregelen? Aantoonbaarheid begint tegelijk met de implementatie van de maatregel. Wanneer je bij het begin bedenkt hoe je het gaat aantonen, is het eenvoudiger om dit in de praktijk te doen. Top tip: Zorg dat aantoonbaarheid bij de implementatie wordt meegenomen en gestandaardiseerd.
  • Voor de meldplicht: Zijn er vastleggingen van de behandeling van incidenten? Aansluiting van de werkwijze van incident response op de werkwijze van crisis management zorgt dat de keuzes en uitgevoerde acties inzichtelijk blijven als uiteindelijk blijkt dat de meldplicht van toepassing is. Top tip: Gebruik dezelfde werkwijze incident response als voor crisis management om de besluitvorming en vastlegging te waarborgen.

Conclusie

De NIS2-richtlijn is van groot belang voor de EU, vooral gezien de huidige cyberdreigingen. De sleutel tot een succesvolle implementatie ligt in samenwerking, zowel binnen organisaties als met 3e partijen. Begin alvast met de implementatie, houd de randvoorwaarden voor succes in gedachten en zorg dat je goed voorbereid bent.

Rico Plomp
Rico Plomp
Senior Manager – Cyber Security
Andrea Krush
Andrea Krush
Senior Manager – Cyber Security
Guido van der Harst
Guido van der Harst
Industry lead , Overheid

23 aug 2024
Knowledge hub overzicht

Blijf up-to-date!

Ontvang onze beste inzichten geschreven door onze experts.