De NIB2-richtlijn: wat is NIB2 en wat betekent het voor (mkb-)bedrijven?

De NIS2 directive is sinds 16 januari 2023 in werking getreden. Een Europese wet, maar wat moet je er als Nederlands MKB-bedrijf mee? Wat is verplicht?

NIB2 richtlijn
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De NIS2 directive is sinds 16 januari 2023 in werking getreden. De Nederlandse overheid is nog altijd druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving (NIB2), die naar verwachting eind 2024 van kracht zal zijn. Het doel van de NIS2 is het verbeteren van de cybersecurity in heel Europa. Iets wat hoognodig is, aangezien het aantal cyberaanvallen de laatste jaren flink is toegenomen. Phishing, ransomware en malware vormen daarin de grootste dreigingen. Doordat we steeds afhankelijker zijn van de digitale infrastructuur, zeker als vitale dienstverlener, is het zaak dat er flinke stappen gemaakt worden. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend, maar juist een basisvoorwaarde voor organisaties. Gevolg van de NIB2 in Nederland is dat een groot aantal (mkb) bedrijven de cybersecurity binnen aanzienlijke tijd op orde moet hebben. 

NIB2 compliant

We zien, zoals hierboven benoemd, dat steeds meer partijen informatie geven over de NIB2 richtlijn. Veel van die partijen zijn technisch van aard en/of leveren technische dienstverlening. Logisch dat zij op dit moment dat soort informatie verschaffen en inspelen op de noodzaak, want eigenlijk had iedere organisatie op basis van risico’s die je als moderne organisatie loopt al veel eerder aandacht moeten hebben voor zaken als back-ups, encryptie, detectie van kwetsbaarheden ed. Daarbij wordt echter ook geschermd met uitspraken zoals ‘daarmee ben je als organisatie NIS2 compliant’. In onze ogen een opmerkelijke uitspraak, want de NIB2 richtlijn is (nog) niet volledig uitgewerkt in de Nederlandse wetgeving en ook niet certificeerbaar.

Hoe zien wij dat? NIB2 zegt in feite niets anders, dan dat je op basis van een risicoanalyse van je organisatie de juiste maatregelen moet treffen om risico’s te mitigeren. Alle moderne wetgeving en branchegerichte informatiebeveiliging is geënt op en ligt direct in het verlengde van het gedachtegoed van ISO 27001. Doordat technische ontwikkelingen zo hard gaan, is een wetgever nooit in staat om de wetgeving in die snelheid mee te ontwikkelen. De wet zou dan snel achterhaald zijn. Om die reden wordt dat – in wetgeving – allemaal omkleedt met taal als ’tref passende maatregelen’. Ofwel: voer een risicoanalyse uit en implementeer, met de juiste technische kennis, de juiste maatregelen. En dat is precies wat ISO 27001 ook wil. Als organisatie hoef je dus op dit moment niet na te denken over de NIB 2 richtlijn, ga liever aan de slag met ISO 27001, dan weet je zeker dat je de juiste stappen zet.

Wat is NIS2?

Even terug naar de basis. Wat is NIS2 precies? NIS2 Directive staat voor Network and Information Systems Directive. In Nederland zal deze bekend zijn onder de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). De NIS2 directive is een Europese richtlijn om de cybersecurity in heel Europa te verbeteren.

NIS2 directive, opvolger van de NIS1 uit 2016

De Europese Unie heeft in 2020 een nieuwe Cybersecurity Strategy gepresenteerd waarbij geconcludeerd is dat de huidige NIS1, afkomstig uit 2016, verouderd is. In de NIS1 staat wat organisaties moeten doen om cybercriminelen buiten de deur te houden, maar de NIS1 kende geen enkele verplichting.

Cybercriminaliteit is wereldwijd een ontzettend snelgroeiende dreiging. Met de NIS2 wetgeving wil de Europese Unie een inhaalslag maken met beveiliging tegen cybercriminaliteit. Onder andere banken, ziekenhuizen, nutsbedrijven en andere bedrijven van bepaalde omvang moeten zich straks in heel Europa verlicht beveiligingen tegen dit soort dreigingen. Het Europees Parlement wil snel stappen maken, vanwege de toenemende risico’s. De digitale infrastructuur is immers van levensbelang. Denk daarbij aan betalingsverkeer, schoon water uit de kraan en de voeten droog houden.

NIB2-richtlijn, update van de Wbni uit 2018

De NIB2-richtlijn is een update van de eerdere Wbni (Wet Beveiliging Netwerk- en Informatiesystemen). Deze wetgeving kennen we sinds november 2018 en regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen). De Wbni richt zich op vitale aanbieders, rijksoverheid en digitale dienstverleners.

Artikeltip: NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!

NIS2 wanneer?

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, eind 2024 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk tot 17 oktober 2024 de tijd om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de NIB2 wetgeving. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar NIB2-richtlijn, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.

Hieronder een ‘statusupdate’ van waar de Nederlandse overheid momenteel staat op dit gebied:

  • Het ministerie van Economische Zaken heeft al een slag gemaakt door het toepassingsgebied van de Wbni uit te breiden met het wetsvoorstel Wet bevordering digitale weerbaarheid bedrijven;
  • Daarnaast is in Nederland reeds voldaan aan eisen om op nationaal niveau hulp te bieden. Onder de NIB2-richtlijn worden eisen gesteld voor melden van incidenten, waardoor informatie over potentiële dreigingen beter wordt gedeeld;
  • Het ministerie van Economische zaken meldde in een kamerbrief dat medio 2024 alle regels van de NIB2 geïmplementeerd moeten zijn. Mocht de implementatie van de Nederlandse wet vertraging oplopen, dan blijft de EU richtlijn gelden.

Overheid gaat 24 oktober 2024 niet halen!

Recent publiceerde de overheid informatie over de implementatiedeadline, te weten 24 oktober 2024, en dat het kabinet deze niet gaat halen. Door de complexiteit neemt het omzetten van NIS2 en CER-richtlijn naar nationale wetgeving (NIB2) meer tijd in beslag dan gedacht. Naar verwachting ontvangt de Tweede Kamer komend najaar wetsvoorstellen. De minister roept bedrijven echter op om nu al in actie te komen. Ze geeft aan dat organisaties niet moeten afwachten totdat de wetgeving gereed is, maar nu al maatregelen moeten nemen om bedrijfsprocessen te beschermen.

NIS2 voor wie?

De nieuwe NIS2 wetgeving richt zich op veel meer sectoren dan de wetgeving die voorheen van kracht was op dit gebied. Het aantal NIS2 sectoren is flink uitgebreid. Ook in Nederland geldt de NIB2 wetgeving dus voor veel meer sectoren dan voorheen het geval was. Door de uitbreiding van NIB2 sectoren moeten naar verwachting zo’n zesduizend extra organisaties gaan voldoen aan de nieuwe wetgeving.

Dat betekent dus ook dat de NIB2 straks geldt voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIB2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIB2-verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!

NIS2 sectoren

Voor de volledigheid hieronder een opsomming van de aangewezen vitale NIS2 sectoren.

Sectoren bijlage 1:

  • Energie
  • Transport
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Beheerders van ICT Diensten
  • Bankwezen

Sectoren bijlage 2:

  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging/manufacturing

Bron: NCTV.nl

NIB2 eisen

De Nederlandse overheid is druk bezig om de NIB2 security richtlijn handen en voeten te geven. Het is momenteel nog niet helemaal duidelijk hoe die NIB2 wetgeving eruit komt te zien en de exacte eisen zijn nog niet vastgesteld. Wat wel duidelijk is, is dat er strengere eisen worden gesteld aan de beveiliging van organisaties en dat het voor tal van organisaties impact heeft. Al deze organisaties moeten maatregelen treffen om de informatiebeveiligings-volwassenheid naar een hoger niveau te brengen.

Vanuit de zorgplicht wordt vereist dat bepaalde technische en organisatorische maatregelen zijn uitgevoerd. Deze worden verder aangescherpt. Er is een lijst van minimale beveiligingseisen waar vitale organisaties aan moeten voldoen. Bijvoorbeeld met:

  • Implementatie van een Security Operations Center
  • Bepaalde NEN-normen

Met de komst van de NIS2 wetgeving wordt handhaving flink aangescherpt en kunnen toezichthouders organisaties hoge boetes opleggen. Zo kunnen essentiële aanbieders, die groot genoeg zijn en niet voldoen aan de NIS2 directive eisen, een boete van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet opgelegd krijgen. Ook is het zo dat personen, met relevante autoriteit of (management)rol op gebied van cybersecurity, persoonlijk verantwoordelijk worden gehouden wanneer niet aan de eisen wordt voldaan.

CSIRT ondersteuning, ook in Nederland

De NIS2 directive brengt niet alleen verplichtingen met zich mee, maar geeft organisaties ook rechten. Zo is er ondersteuning en advies van een Computer Security Incident Response Team (CSIRT). Dat team monitort en analyseert cyberdreigingen, kwetsbaarheden en incidenten en geeft organisaties, die onder de NIS2-richtlijn vallen, vroegtijdig waarschuwingen. Daarnaast deelt het team informatie over dreigingen, kwetsbaarheden en incidenten (zo verwoordde minister Adriaansen van Economische Zaken het).

Met de komst van de NIB2-richtlijn neemt het aantal NIB2 sectoren flink toe. Onder de huidige wetgeving is het in Nederland zo dat vitale aanbieders en (onderdelen van) de recht op bijstand en advies van het Nationaal Cyber Security Center (NSCS) hebben en digitale dienstverleners van het CSIRT voor digitale diensten. Taken van deze instituten:

  • Digitale kwetsbaarheden in kaart brengen en verbinden door delen van kennis en informatie;
  • Dreigingen beperken en (maatschappelijke) schade voorkomen;
  • Treffen van maatregelen om cyberdreiging tegen te gaan en/of bij herstel van incidenten;
  • Continuïteit van diensten borgen.

De Nederlandse overheid heeft plannen om Nederlandse sectoren die onder de NIB2 vallen te voorzien van beveiligingsinformatie met behulp van een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, de CSIRT-DSP voor service providers en het Digital Trust Center samenwerken/samengaan om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT (bron: cmweb.nl) wat fungeert als het eerder genoemde CSIRT. Aankomend jaar wordt hiervoor een flinke investering gedaan in (verdere) ontwikkeling van initiatieven, zoals:

  • Een incidentenregister;
  • Cyclotron;
  • Publiek private afspraken rondom betere notificatie van slachtoffers van cyberaanvallen en mogelijke doelwitten.

NIS2 checklist

Ondanks dat de eisen die vanuit de NIB2 opgelegd gaan worden, nog niet helemaal duidelijk zijn, staat het als een paal boven water dat organisaties aan de slag moeten om de volgende stap te maken met hun cybersecurity-strategie en te voldoen aan het geëiste niveau van informatiebeveiliging. Het is verstandig om niet af te wachten tot eind 2024 als de wetgeving in Nederland van kracht gaat zijn, maar om nu al stappen te zetten. Waar begin je? Hieronder een aantal handvaten zodat je een soort van NIS2 checklist hebt.

Een aantal vragen dat in ieder geval beantwoord moet worden:

  • Is er een informatiebeveiligingsbeleid binnen de organisatie?
  • Is het bewustzijn van medewerkers op orde? Herkennen ze phishingmails? Weten ze hoe ze moeten handelen bij een incident? Etc.
  • Worden er consequent beveiligingsmaatregelen, zoals multifactor-authenticatie en een wachtwoordbeleid, toegepast?
  • Hoe is het gesteld met het Identity and Access Management (IAM)?

Aan de slag met informatiebeveiligingsbewustzijn? Bekijk onze e-learning!

NIS 2 vs. ISO 27001

NIS 2 vs. ISO 27001, hoe zit dat? Zoals aan het begin van dit artikel al aangegeven, is het verstandig om met ISO 27001 aan de slag te gaan en vanuit de daarin verplichte risicoanalyse passende maatregelen te treffen. Daarmee borg je dat je voorbereid bent op de komst van de NIB2-richtlijn.

Om de zaken op orde te krijgen, moeten dit soort onderdelen in elk geval in kaart worden gebracht:

Systeemtoegang

  • Is multifactor authenticatie in gebruik voor toegang tot (kritieke) systemen?
  • Is toegang tot systemen geregeld op basis van rollen en functies (en niet op personen)?
  • Is de on- en offboarding procedure beschreven en ingeregeld, waarbij de rechten worden toegekend conform de autorisatiematrix?
  • Wordt regelmatig gecontroleerd of de bestaande toegangsrechten nog kloppen?
  • Is er een password management systeem in gebruik?
  • Wordt van alle (kritieke) systemen loginformatie gegenereerd?

Beheer van hard- en software

  • Is alle in de organisatie in gebruik zijnde hardware en software in kaart?
  • Is device management ingeregeld en is er controle op geïnstalleerde software op laptops en telefoons?
  • Is er een werkwijze/procedure waarmee alle systemen regelmatig worden gepatched en bijgewerkt naar laatste versie i.v.m. security updates?
  • Is encryptie toegepast op informatiedragers met belangrijke bedrijfsinformatie?
  • Is in kaart gebracht welke IT-apparatuur benaderbaar is via het internet, is de toegang van deze apparaten beperkt tot het noodzakelijke en is de apparatuur in een separaat segment van het netwerk geplaatst?

Informatiebeveilingsbewustzijn

  • Wordt er gewerkt aan bewustzijn bij medewerkers met betrekking tot securityrisico’s (bijv. malware, ransomware, phishing, CEO fraude)

Backup

  • Is vastgesteld van welke data een back-up noodzakelijk is, met welke frequentie en welke bewaartermijn?
  • Worden met de juiste frequentie back-ups gemaakt?
  • Wordt hierbij het principe gehanteerd van 3 back-up versies van de data, op 2 verschillende media, waarvan 1 op een andere locatie)?
  • Wordt met regelmaat een restore-test uitgevoerd?

Dataclassificatie

  • Is vertrouwelijke data als zodanig geclassificeerd en zijn er bewaar- en verwijderingsprocedures?

Netwerkbeveiliging

  • Wordt het netwerk (en de verschillende zones daarbinnen) beveiligd door een firewall?
  • Is de toegang tot de verschillende Wifi netwerken gescheiden met verschillende wachtwoorden?
  • Is het wifi-netwerk ingesteld met de juiste encryptie?

Fysieke toegang

Leveranciersbeheersing

  • Zijn de leveranciers geïdentificeerd die invloed hebben op beschikbaarheid, integriteit en vertrouwelijkheid van relevante gegevens? Zijn hier sluitende overeenkomsten (SLA, NDA, verwerkersovereenkomst) mee afgesloten? Zijn deze leveranciers ISO 27001 gecertificeerd?

NIS2 zelfevaluatie: regelhulp voor bedrijven

De overheid heeft een NIS2 zelfevaluatietool beschikbaar gesteld via regelhulpenvoorbedrijven.nl. Door het invullen van de zelfevaluatie weet je of de NIS2-richtlijn van toepassing is op je organisatie. Let wel op! We hebben al bij meerdere van onze relaties meegemaakt dat, na invullen van de zelfevaluatie, blijkt dat zij niet onder de NIS 2 gaan vallen, maar dat zij wel leverancier zijn van andere organisaties die er wel onder vallen. Een eis binnen NIS2 is dat de keten beheerst moet worden.

Dus ook al word je niet direct zelf ‘geraakt’ door deze NIB2-richtlijn, een klant kan jou als leverancier wel degelijk een eis opleggen/er om vragen. Dat moment wil je als organisatie voor zijn en dat kan door te zorgen dat je de zaken rondom informatiebeveiliging op orde hebt. Dat doe je bijvoorbeeld door, zoals benoemd, met ISO 27001 aan de slag te gaan en ervoor te zorgen dat je mensen met voldoende competenties in je organisatie hebt, zodat je in ieder geval duidelijk kunt verklaren waarom je techniek in elkaar zit zoals die in elkaar zit.

Analyse mapping NIS2 en BIO (Baseline Informatiebeveiliging Overheid)

De digitale overheid heeft een analyse uitgebracht waarin een aanzet wordt gedaan met het oog op de maatregelen die in de NIS 2 expliciet genoemd worden in relatie tot of deze verplicht/optioneel/situationeel zijn,
en hoe deze zich verhouden tot de NEN-EN-ISO/IEC 27002 (nl). De inventarisatie is geen beoordeling of en op welke punten met de huidige BIO invulling wordt gegeven aan de NIS 2.

Bekijk analyse

Hulp of ondersteuning nodig?

De NIB2, in Nederland, is op komst, daar is geen ontkomen meer aan. Dit houdt dus in dat (mkb) bedrijven aan de slag moeten! Liever nog vandaag, dan morgen; er is veel werk aan de winkel voor veel organisaties. Om als organisatie stappen te maken op gebied van cybersecurity/informatiebeveiliging, is een bepaald(e) kennis(niveau) noodzakelijk. Mogelijk is deze kennis niet aanwezig binnen je organisatie. Expertise inhuren of de taken volledig uitbesteden is daarbij een optie om te overwegen. Wil je sparren of meer informatie over de mogelijkheden? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!

NIS2 implementatiepakket

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NIS2 - ISO 27001 implementatie pakket

Voldoe tijdig aan de NIB2-richtlijn!

  • Op maat inrichten
  • Praktische insteek
  • ISO 27001 integratie

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields