De NIB2-richtlijn: wat is NIB2 en wat betekent het voor (mkb-)bedrijven?

De NIS2 directive is sinds 16 januari 2023 in werking getreden. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving (NIB2), die naar verwachting eind 2024 van kracht zal zijn. Het doel van de NIS2 is het verbeteren van de cybersecurity in heel Europa. Iets wat hoognodig is, aangezien het aantal cyberaanvallen de laatste jaren flink is toegenomen. Phishing, ransomware en malware vormen daarin de grootste dreigingen. Doordat we steeds afhankelijker zijn van de digitale infrastructuur, zeker als vitale dienstverlener, is het zaak dat er flinke stappen gemaakt worden. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend, maar juist een basisvoorwaarde voor organisaties. Gevolg van de NIB2 in Nederland is dat een groot aantal (mkb) bedrijven de cybersecurity binnen aanzienlijke tijd op orde moet hebben. 

We zien, zoals hierboven benoemd, dat steeds meer partijen informatie geven over de NIB2 richtlijn. Veel van die partijen zijn technisch van aard en/of leveren technische dienstverlening. Logisch dat zij op dit moment dat soort informatie verschaffen en inspelen op de noodzaak, want eigenlijk had iedere organisatie op basis van risico’s die je als moderne organisatie loopt al veel eerder aandacht moeten hebben voor zaken als back-ups, encryptie, detectie van kwetsbaarheden ed. Daarbij wordt echter ook geschermd met uitspraken zoals ‘daarmee ben je als organisatie NIS2 compliant’. In onze ogen een opmerkelijke uitspraak, want de NIB2 richtlijn is (nog) niet volledig uitgewerkt in de Nederlandse wetgeving en ook niet certificeerbaar.

Hoe zien wij dat? NIB2 zegt in feite niets anders, dan dat je op basis van een risicoanalyse van je organisatie de juiste maatregelen moet treffen om risico’s te mitigeren. Alle moderne wetgeving en branchegerichte informatiebeveiliging is geënt op en ligt direct in het verlengde van het gedachtegoed van ISO 27001. Doordat technische ontwikkelingen zo hard gaan, is een wetgever nooit in staat om de wetgeving in die snelheid mee te ontwikkelen. De wet zou dan snel achterhaald zijn. Om die reden wordt dat – in wetgeving – allemaal omkleedt met taal als ’tref passende maatregelen’. Ofwel: voer een risicoanalyse uit en implementeer, met de juiste technische kennis, de juiste maatregelen. En dat is precies wat ISO 27001 ook wil. Als organisatie hoef je dus op dit moment niet na te denken over de NIB 2 richtlijn, ga liever aan de slag met ISO 27001, dan weet je zeker dat je de juiste stappen zet.

Even terug naar de basis. Wat is NIS2 precies? NIS2 Directive staat voor Network and Information Systems Directive. In Nederland zal deze bekend zijn onder de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). De NIS2 directive is een Europese richtlijn om de cybersecurity in heel Europa te verbeteren.

Cybercriminaliteit is wereldwijd een ontzettend snelgroeiende dreiging. Met de NIS2 wetgeving wil de Europese Unie een inhaalslag maken met beveiliging tegen cybercriminaliteit. Onder andere banken, ziekenhuizen, nutsbedrijven en andere bedrijven van bepaalde omvang moeten zich straks in heel Europa verlicht beveiligingen tegen dit soort dreigingen. Het Europees Parlement wil snel stappen maken, vanwege de toenemende risico’s. De digitale infrastructuur is immers van levensbelang. Denk daarbij aan betalingsverkeer, schoon water uit de kraan en de voeten droog houden.

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, eind 2024 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk tot 17 oktober 2024 de tijd om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de NIB2 wetgeving. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar NIB2-richtlijn, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.

Hieronder een ‘statusupdate’ van waar de Nederlandse overheid momenteel staat op dit gebied:

De nieuwe NIS2 wetgeving richt zich op veel meer sectoren dan de wetgeving die voorheen van kracht was op dit gebied. Het aantal NIS2 sectoren is flink uitgebreid. Ook in Nederland geldt de NIB2 wetgeving dus voor veel meer sectoren dan voorheen het geval was. Door de uitbreiding van NIB2 sectoren moeten naar verwachting zo’n zesduizend extra organisaties gaan voldoen aan de nieuwe wetgeving.

Dat betekent dus ook dat de NIB2 straks geldt voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIB2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIB2-verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!

Voor de volledigheid hieronder een opsomming van de aangewezen vitale NIS2 sectoren.

Sectoren bijlage 1:

Sectoren bijlage 2:

Bron: NCTV.nl

De Nederlandse overheid is druk bezig om de NIB2 security richtlijn handen en voeten te geven. Het is momenteel nog niet helemaal duidelijk hoe die NIB2 wetgeving eruit komt te zien en de exacte eisen zijn nog niet vastgesteld. Wat wel duidelijk is, is dat er strengere eisen worden gesteld aan de beveiliging van organisaties en dat het voor tal van organisaties impact heeft. Al deze organisaties moeten maatregelen treffen om de informatiebeveiligings-volwassenheid naar een hoger niveau te brengen.

Vanuit de zorgplicht wordt vereist dat bepaalde technische en organisatorische maatregelen zijn uitgevoerd. Deze worden verder aangescherpt. Er is een lijst van minimale beveiligingseisen waar vitale organisaties aan moeten voldoen. Bijvoorbeeld met:

Met de komst van de NIS2 wetgeving wordt handhaving flink aangescherpt en kunnen toezichthouders organisaties hoge boetes opleggen. Zo kunnen essentiële aanbieders, die groot genoeg zijn en niet voldoen aan de NIS2 directive eisen, een boete van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet opgelegd krijgen. Ook is het zo dat personen, met relevante autoriteit of (management)rol op gebied van cybersecurity, persoonlijk verantwoordelijk worden gehouden wanneer niet aan de eisen wordt voldaan.

De NIS2 directive brengt niet alleen verplichtingen met zich mee, maar geeft organisaties ook rechten. Zo is er ondersteuning en advies van een Computer Security Incident Response Team (CSIRT). Dat team monitort en analyseert cyberdreigingen, kwetsbaarheden en incidenten en geeft organisaties, die onder de NIS2-richtlijn vallen, vroegtijdig waarschuwingen. Daarnaast deelt het team informatie over dreigingen, kwetsbaarheden en incidenten (zo verwoordde minister Adriaansen van Economische Zaken het).

Met de komst van de NIB2-richtlijn neemt het aantal NIB2 sectoren flink toe. Onder de huidige wetgeving is het in Nederland zo dat vitale aanbieders en (onderdelen van) de recht op bijstand en advies van het Nationaal Cyber Security Center (NSCS) hebben en digitale dienstverleners van het CSIRT voor digitale diensten. Taken van deze instituten:

De Nederlandse overheid heeft plannen om Nederlandse sectoren die onder de NIB2 vallen te voorzien van beveiligingsinformatie met behulp van een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, de CSIRT-DSP voor service providers en het Digital Trust Center samenwerken/samengaan om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT (bron: cmweb.nl) wat fungeert als het eerder genoemde CSIRT. Aankomend jaar wordt hiervoor een flinke investering gedaan in (verdere) ontwikkeling van initiatieven, zoals:

Ondanks dat de eisen die vanuit de NIB2 opgelegd gaan worden, nog niet helemaal duidelijk zijn, staat het als een paal boven water dat organisaties aan de slag moeten om de volgende stap te maken met hun cybersecurity-strategie en te voldoen aan het geëiste niveau van informatiebeveiliging. Het is verstandig om niet af te wachten tot eind 2024 als de wetgeving in Nederland van kracht gaat zijn, maar om nu al stappen te zetten. Waar begin je? Hieronder een aantal handvaten zodat je een soort van NIS2 checklist hebt.

Een aantal vragen dat in ieder geval beantwoord moet worden:

De overheid heeft een NIS2 zelfevaluatietool beschikbaar gesteld via regelhulpenvoorbedrijven.nl. Door het invullen van de zelfevaluatie weet je of de NIS2-richtlijn van toepassing is op je organisatie. Let wel op! We hebben al bij meerdere van onze relaties meegemaakt dat, na invullen van de zelfevaluatie, blijkt dat zij niet onder de NIS 2 gaan vallen, maar dat zij wel leverancier zijn van andere organisaties die er wel onder vallen. Een eis binnen NIS2 is dat de keten beheerst moet worden.

Dus ook al word je niet direct zelf ‘geraakt’ door deze NIB2-richtlijn, een klant kan jou als leverancier wel degelijk een eis opleggen/er om vragen. Dat moment wil je als organisatie voor zijn en dat kan door te zorgen dat je de zaken rondom informatiebeveiliging op orde hebt. Dat doe je bijvoorbeeld door, zoals benoemd, met ISO 27001 aan de slag te gaan en ervoor te zorgen dat je mensen met voldoende competenties in je organisatie hebt, zodat je in ieder geval duidelijk kunt verklaren waarom je techniek in elkaar zit zoals die in elkaar zit.

De NIB2, in Nederland, is op komst, daar is geen ontkomen meer aan. Dit houdt dus in dat (mkb) bedrijven aan de slag moeten! Liever nog vandaag, dan morgen; er is veel werk aan de winkel voor veel organisaties. Om als organisatie stappen te maken op gebied van cybersecurity/informatiebeveiliging, is een bepaald(e) kennis(niveau) noodzakelijk. Mogelijk is deze kennis niet aanwezig binnen je organisatie. Expertise inhuren of de taken volledig uitbesteden is daarbij een optie om te overwegen. Wil je sparren of meer informatie over de mogelijkheden? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!