NIB2-richtlijnDe NIS2 directive is sinds 16 januari 2023 in werking getreden. De Nederlandse overheid is druk bezig om deze EU-wetgeving door te vertalen naar nationale wetgeving (NIB2), die naar verwachting eind 2024 van kracht zal zijn. Het doel van de NIS2 is het verbeteren van de cybersecurity in heel Europa. Iets wat hoognodig is, aangezien het aantal cyberaanvallen de laatste jaren flink is toegenomen. Phishing, ransomware en malware vormen daarin de grootste dreigingen. Doordat we steeds afhankelijker zijn van de digitale infrastructuur, zeker als vitale dienstverlener, is het zaak dat er flinke stappen gemaakt worden. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend, maar juist een basisvoorwaarde voor organisaties. Gevolg van de NIB2 in Nederland is dat een groot aantal (mkb) bedrijven de cybersecurity binnen aanzienlijke tijd op orde moet hebben. Wat houdt dat in?

Bekijk ook ons eerder geschreven artikel: Uitbreiding EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn) moet digitale veiligheid flink gaan verhogen

Aan de slag met informatiebeveiliging? Download deze gids!

Wil je aan de slag met informatiebeveiliging? In deze gids lees je er alles over. Ook vertellen we je meer over ISO 27001, de norm voor informatiebeveiliging. De gids is geheel vrijblijvend te downloaden via onze website.

DOWNLOAD WHITEPAPER
Informatiegids ISO 27001

Wat is NIS2?

Even terug naar de basis. Wat is NIS2 precies? NIS2 Directive staat voor Network and Information Systems Directive. In Nederland zal deze bekend zijn onder de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). De NIS2 directive is een Europese richtlijn om de cybersecurity in heel Europa te verbeteren.

NIS2 directive, opvolger van de NIS1 uit 2016
De Europese Unie heeft in 2020 een nieuwe Cybersecurity Strategy gepresenteerd waarbij geconcludeerd is dat de huidige NIS1, afkomstig uit 2016, verouderd is. In de NIS1 staat wat organisaties moeten doen om cybercriminelen buiten de deur te houden, maar de NIS1 kende geen enkele verplichting.

Cybercriminaliteit is wereldwijd een ontzettend snelgroeiende dreiging. Met de NIS2 wetgeving wil de Europese Unie een inhaalslag maken met beveiliging tegen cybercriminaliteit. Onder andere banken, ziekenhuizen, nutsbedrijven en andere bedrijven van bepaalde omvang moeten zich straks in heel Europa verlicht beveiligingen tegen dit soort dreigingen. Het Europees Parlement wil snel stappen maken, vanwege de toenemende risico’s. De digitale infrastructuur is immers van levensbelang. Denk daarbij aan betalingsverkeer, schoon water uit de kraan en de voeten droog houden.

NIB2-richtlijn, update van de Wbni uit 2018
De NIB2-richtlijn is een update van de eerdere Wbni (Wet Beveiliging Netwerk- en Informatiesystemen). Deze wetgeving kennen we sinds november 2018 en regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen). De Wbni richt zich op vitale aanbieders, rijksoverheid en digitale dienstverleners.

Artikeltip: NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!

NIS2 wanneer?

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, eind 2024 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk tot 17 oktober 2024 de tijd om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de NIB2 wetgeving. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar NIB2-richtlijn, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.

Hieronder een ‘statusupdate’ van waar de Nederlandse overheid momenteel staat op dit gebied:

  • Het ministerie van Economische Zaken heeft al een slag gemaakt door het toepassingsgebied van de Wbni uit te breiden met het wetsvoorstel Wet bevordering digitale weerbaarheid bedrijven;
  • Daarnaast is in Nederland reeds voldaan aan eisen om op nationaal niveau hulp te bieden. Onder de NIB2-richtlijn worden eisen gesteld voor melden van incidenten, waardoor informatie over potentiële dreigingen beter wordt gedeeld;
  • Het ministerie van Economische zaken meldde in een kamerbrief dat medio 2024 alle regels van de NIB2 geïmplementeerd moeten zijn.

NIS2 voor wie?

De nieuwe NIS2 wetgeving richt zich op veel meer sectoren dan de wetgeving die voorheen van kracht was op dit gebied. Het aantal NIS2 sectoren is flink uitgebreid. Ook in Nederland geldt de NIB2 wetgeving dus voor veel meer sectoren dan voorheen het geval was. Door de uitbreiding van NIB2 sectoren moeten naar verwachting zo’n zesduizend extra organisaties gaan voldoen aan de nieuwe wetgeving.

Dat betekent dus ook dat de NIB2 straks geldt voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIB2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIB2-verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!

Bekijk ook: Opstaptraject informatiebeveiliging: een eerste stap naar certificering

NIB2 eisen

De Nederlandse overheid is druk bezig om de NIB2 security richtlijn handen en voeten te geven. Het is momenteel nog niet helemaal duidelijk hoe die NIB2 wetgeving eruit komt te zien en de exacte eisen zijn nog niet vastgesteld. Wat wel duidelijk is, is dat er strengere eisen worden gesteld aan de beveiliging van organisaties en dat het voor tal van organisaties impact heeft. Al deze organisaties moeten maatregelen treffen om de informatiebeveiligings-volwassenheid naar een hoger niveau te brengen.

Vanuit de zorgplicht wordt vereist dat bepaalde technische en organisatorische maatregelen zijn uitgevoerd. Deze worden verder aangescherpt. Er is een lijst van minimale beveiligingseisen waar vitale organisaties aan moeten voldoen. Bijvoorbeeld met:

  • Implementatie van een Security Operations Center
  • Bepaalde NEN-normen

Lees ook: Stappenplan ISO 27001: in 10 stappen naar certificering

Met de komst van de NIS2 wetgeving wordt handhaving flink aangescherpt en kunnen toezichthouders organisaties hoge boetes opleggen. Zo kunnen essentiële aanbieders, die groot genoeg zijn en niet voldoen aan de NIS2 directive eisen, een boete van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet opgelegd krijgen. Ook is het zo dat personen, met relevante autoriteit of (management)rol op gebied van cybersecurity, persoonlijk verantwoordelijk worden gehouden wanneer niet aan de eisen wordt voldaan.

Bekijk ook ons eerdere artikel, waar uitgebreider wordt uitgelegd wat de zorg- en meldplicht inhouden:  Uitbreiding EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn) moet digitale veiligheid flink gaan verhogen

CSIRT ondersteuning, ook in Nederland

De NIS2 directive brengt niet alleen verplichtingen met zich mee, maar geeft organisaties ook rechten. Zo is er ondersteuning en advies van een Computer Security Incident Response Team (CSIRT). Dat team monitort en analyseert cyberdreigingen, kwetsbaarheden en incidenten en geeft organisaties, die onder de NIS2-richtlijn vallen, vroegtijdig waarschuwingen. Daarnaast deelt het team informatie over dreigingen, kwetsbaarheden en incidenten (zo verwoordde minister Adriaansen van Economische Zaken het).

Met de komst van de NIB2-richtlijn neemt het aantal NIB2 sectoren flink toe. Onder de huidige wetgeving is het in Nederland zo dat vitale aanbieders en (onderdelen van) de recht op bijstand en advies van het Nationaal Cyber Security Center (NSCS) hebben en digitale dienstverleners van het CSIRT voor digitale diensten. Taken van deze instituten:

  • Digitale kwetsbaarheden in kaart brengen en verbinden door delen van kennis en informatie;
  • Dreigingen beperken en (maatschappelijke) schade voorkomen;
  • Treffen van maatregelen om cyberdreiging tegen te gaan en/of bij herstel van incidenten;
  • Continuïteit van diensten borgen.

De Nederlandse overheid heeft plannen om Nederlandse sectoren die onder de NIB2 vallen te voorzien van beveiligingsinformatie met behulp van een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, de CSIRT-DSP voor service providers en het Digital Trust Center samenwerken/samengaan om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT (bron: cmweb.nl) wat fungeert als het eerder genoemde CSIRT. Aankomend jaar wordt hiervoor een flinke investering gedaan in (verdere) ontwikkeling van initiatieven, zoals:

  • Een incidentenregister;
  • Cyclotron;
  • Publiek private afspraken rondom betere notificatie van slachtoffers van cyberaanvallen en mogelijke doelwitten.

NIS2 checklist

Ondanks dat de eisen die vanuit de NIB2 opgelegd gaan worden, nog niet helemaal duidelijk zijn, staat het als een paal boven water dat organisaties aan de slag moeten om de volgende stap te maken met hun cybersecurity-strategie en te voldoen aan het geëiste niveau van informatiebeveiliging. Het is verstandig om niet af te wachten tot eind 2024 als de wetgeving in Nederland van kracht gaat zijn, maar om nu al stappen te zetten. Waar begin je? Hieronder een aantal handvaten zodat je een soort van NIS2 checklist hebt.

Een aantal vragen dat in ieder geval beantwoord moet worden:

  • Is er een informatiebeveiligingsbeleid binnen de organisatie?
  • Is het bewustzijn van medewerkers op orde? Herkennen ze phishingmails? Weten ze hoe ze moeten handelen bij een incident? Etc.
  • Worden er consequent beveiligingsmaatregelen, zoals multifactor-authenticatie en een wachtwoordbeleid, toegepast?
  • Hoe is het gesteld met het Identity and Access Management (IAM)?

Aan de slag met informatiebeveiligingsbewustzijn? Bekijk onze e-learning!

Stappen: breng in kaart!
Om de zaken op orde te krijgen, moeten de volgende onderdelen in elk geval in kaart worden gebracht:

Systeemtoegang

  • Is multifactor authenticatie in gebruik voor toegang tot (kritieke) systemen?
  • Is toegang tot systemen geregeld op basis van rollen en functies (en niet op personen)?
  • Is de on- en offboarding procedure beschreven en ingeregeld, waarbij de rechten worden toegekend conform de autorisatiematrix?
  • Wordt regelmatig gecontroleerd of de bestaande toegangsrechten nog kloppen?
  • Is er een password management systeem in gebruik?
  • Wordt van alle (kritieke) systemen loginformatie gegenereerd?

Beheer van hard- en software

  • Is alle in de organisatie in gebruik zijnde hardware en software in kaart?
  • Is device management ingeregeld en is er controle op geïnstalleerde software op laptops en telefoons?
  • Is er een werkwijze/procedure waarmee alle systemen regelmatig worden gepatched en bijgewerkt naar laatste versie i.v.m. security updates?
  • Is encryptie toegepast op informatiedragers met belangrijke bedrijfsinformatie?
  • Is in kaart gebracht welke IT-apparatuur benaderbaar is via het internet, is de toegang van deze apparaten beperkt tot het noodzakelijke en is de apparatuur in een separaat segment van het netwerk geplaatst?

Informatiebeveilingsbewustzijn

  • Wordt er gewerkt aan bewustzijn bij medewerkers met betrekking tot securityrisico’s (bijv. malware, ransomware, phishing, CEO fraude)

Backup

  • Is vastgesteld van welke data een back-up noodzakelijk is, met welke frequentie en welke bewaartermijn?
  • Worden met de juiste frequentie back-ups gemaakt?
  • Wordt hierbij het principe gehanteerd van 3 back-up versies van de data, op 2 verschillende media, waarvan 1 op een andere locatie)?
  • Wordt met regelmaat een restore-test uitgevoerd?

Dataclassificatie

  • Is vertrouwelijke data als zodanig geclassificeerd en zijn er bewaar- en verwijderingsprocedures?

Netwerkbeveiliging

  • Wordt het netwerk (en de verschillende zones daarbinnen) beveiligd door een firewall?
  • Is de toegang tot de verschillende Wifi netwerken gescheiden met verschillende wachtwoorden?
  • Is het wifi-netwerk ingesteld met de juiste encryptie?

Fysieke toegang

Leveranciersbeheersing

  • Zijn de leveranciers geïdentificeerd die invloed hebben op beschikbaarheid, integriteit en vertrouwelijkheid van relevante gegevens? Zijn hier sluitende overeenkomsten (SLA, NDA, verwerkersovereenkomst) mee afgesloten? Zijn deze leveranciers ISO 27001 gecertificeerd?

Meer lezen? Bekijk dan het artikel: Informatiebeveiligingsmanagement: eerst de onderdelen, dan de assemblage

Hulp of ondersteuning nodig?

De NIB2, in Nederland, is op komst, daar is geen ontkomen meer aan. Dit houdt dus in dat (mkb) bedrijven aan de slag moeten! Liever nog vandaag, dan morgen; er is veel werk aan de winkel voor veel organisaties. Om als organisatie stappen te maken op gebied van cybersecurity/informatiebeveiliging, is een bepaald(e) kennis(niveau) noodzakelijk. Mogelijk is deze kennis niet aanwezig binnen je organisatie. Expertise inhuren of de taken volledig uitbesteden is daarbij een optie om te overwegen. Wil je sparren of meer informatie over de mogelijkheden? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!

New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl