21 mei 2024

Leestijd: 6 minuten

NIS2 wet komt eraan: dit zijn de verplichtingen, stappen en kansen van de nieuwe Cyberbeveiligingswet

De NIS2 directive is sinds 16 januari 2023 in werking getreden. Een Europese wet, maar wat moet je er als Nederlands MKB-bedrijf mee? Wat is verplicht?

Tobias op den Brouw

Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Cybersecurity was jarenlang iets dat ‘erbij’ gedaan werd. Maar de realiteit is veranderd. Cyberaanvallen nemen toe in kracht, snelheid en impact. Met de komst van de Europese NIS2-richtlijn, in Nederland vertaald naar de Cyberbeveiligingswet (cbw) welke in het derde kwartaal van 2025 van kracht is. is het tijd voor actie. Wat houdt de wet precies in? Wie valt eronder? En belangrijker nog: hoe voldoe je aan de eisen?

In dit blogartikel geven we je alle antwoorden. Geen technisch geneuzel, maar heldere uitleg en een praktisch stappenplan om jouw organisatie klaar te stomen. Of je nu actief bent in de IT, zorgsector of zakelijke dienstverlening: de impact is groot, en de tijd dringt. En niet enkel voor organisaties die direct onder de wet vallen, maar ook voor partners in de keten!

Inhoud

Dit blogartikel bevat de volgende inhoud:

NIS2: wat is het en waarom relevant?
Cyberbeveiligingswet nader verklaard
NIS2 verplichtingen
NIS2 implementatie
NIS2 stappenplan
NIS2 compliance
NIS2 certificering of keurmerk
NIS2 vs. ISO 27001

Wat is de NIS2 en waarom is deze relevant voor jouw organisatie?

De NIS2-richtlijn (Network and Information Systems Directive) is sinds 16 januari 2023 in werking getreden. Het doel? De digitale weerbaarheid van organisaties in heel Europa vergroten. In Nederland wordt deze richtlijn vertaald naar de Cyberbeveiligingswet, die naar verwachting in het derde kwartaal van 2025 van kracht gaat.

Meer video’s bekijken? Abonneer je op ons YouTube kanaal!

De aanleiding is helder: cybercriminaliteit is een groeiend probleem. Phishing, ransomware en andere aanvallen treffen ook steeds vaker het mkb. 1 op de 5 mkb-organisaties wordt slachtoffer van cybercriminaliteit. Toch denken veel ondernemers nog steeds: “Mij overkomt dat niet” of “ik heb antivirussoftware, dat is wel goed geregeld zo.” Gevaarlijke misvattingen!

NIS2 voor wie? Doe de quickscan NIS2-richtlijn

Op 29-02-24 heeft de overheid de NIS2 Quickscan gelanceerd. Door 40 ja/nee-vragen in te vullen krijg je een beeld van de status van de digitale weerbaarheid van je organisatie. Een handig hulpmiddel dus voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de komst van de NIS2 richtlijn.

Doe de Quickscan NIS2

Hoe zien wij van CertificeringsAdvies Nederland dit precies? De NIS2 directive of NIS2 richtlijn zegt in feite niets anders dan dat je op basis van een risicoanalyse van je organisatie de juiste maatregelen moet treffen om risico’s te mitigeren. Alle moderne wetgeving en branchegerichte informatiebeveiliging is geënt op en ligt direct in het verlengde van het gedachtegoed van ISO 27001. Doordat technische ontwikkelingen zo hard gaan, is een wetgever nooit in staat om de wetgeving in die snelheid mee te ontwikkelen. De wet zou dan snel achterhaald zijn. Om die reden wordt dat, in wetgeving, allemaal omschreven met taal als ’tref passende maatregelen’. Ofwel: voer een risicoanalyse uit en implementeer, met de juiste technische kennis, de juiste maatregelen. En dat is precies wat ISO 27001 ook wil. Als organisatie hoef je dus op dit moment niet na te denken over de Cyberbeveiligingswet, ga liever aan de slag met ISO 27001, dan weet je zeker dat je de juiste stappen zet.

Wbni NIS2: Cyberbeveiligingswet, update van de Wbni uit 2018

De Cyberbeveiligingswet is een update van de eerdere Wbni (Wet Beveiliging Netwerk- en Informatiesystemen). Deze wetgeving kennen we sinds november 2018 en regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen). De Wbni richt zich op vitale aanbieders, rijksoverheid en digitale dienstverleners.

De Europese Unie heeft in 2020 een nieuwe Cybersecurity Strategy gepresenteerd waarbij geconcludeerd is dat de huidige NIS1, afkomstig uit 2016, verouderd is. In de NIS1 staat wat organisaties moeten doen om cybercriminelen buiten de deur te houden, maar de NIS1 kende geen enkele verplichting.

Artikeltip: NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!

De cyberbeveiligingswet uitgelegd: dit is er aan de hand

De Cyberbeveiligingswet is de Nederlandse vertaling van de Europese NIS2. De richtlijn verplicht organisaties om passende technische en organisatorische maatregelen te nemen om hun digitale infrastructuur te beveiligen.

Het gaat daarbij niet alleen om bedrijven die direct onder de wet vallen. Ook schakels in de keten, zoals toeleveranciers, worden geraakt. De wet bevat vier belangrijke verplichtingen:

De zorgplicht
De meldplicht
De registratieplicht
Toezicht

De gevolgen van niet voldoen? Boetes tot 10 miljoen euro of 2% van de wereldwijde omzet, én persoonlijke aansprakelijkheid voor bestuurders.

NIS2 checklist

Het is niet verstandig om te wachten tot de Cyberbeveiligingswet in Nederland van kracht is. Je kunt nu al stappen zetten, maar waar begin je? Bekijk onze NIS2 checklist.

NIS2 verplichtingen: wat moet je als organisatie regelen?

De NIS2 zorgplicht

Er is een lijst van minimale beveiligingseisen waar vitale organisaties, en de fysieke omgeving waarin systemen zich bevinden, aan moeten voldoen. Je bent verplicht om passende beveiligingsmaatregelen te nemen, gebaseerd op een risicoanalyse. Bijvoorbeeld met:

Risicoanalyse en beveiliging van netwerk- en informatiesystemen
Incidentmanagement en bedrijfscontinuïteit
Beveiliging van de keten en toeleveranciers
Effectiviteit van cybersecurityrisico’s beoordelen (beleid, proces)
Training en bewustwording
Toegangsbeheer, encryptie, back-upbeleid
Beveiligde (nood) communicatie

De NIS2 meldplicht

Incidenten met impact moeten binnen 24 uur gemeld worden. Denk aan datalekken of cyberaanvallen.

De NIS2 registratieplicht

Organisaties die als ‘essentieel’ zijn aangemerkt, moeten zich (wettelijk verplicht) registreren bij het Nationaal Cyber Security Centrum (NCSC). Daarbij geef je onder andere je sector en EU-activiteiten door. Door middel van een dergelijk entiteitenregister wordt het zicht op digitale weerbaarheid van dit type diensten en organisaties vergroot.

NIS2 implementatie: hoe pak je het slim aan?

Start met inzicht. Veel organisaties onderschatten hun kwetsbaarheden. Denk je dat antivirus voldoende is? Of dat je back-up actueel is? Of vertrouw je volledig op je IT-partner? Dan is het tijd om door te vragen.

NIS2 self assessment: regelhulp voor bedrijven

De overheid heeft een NIS2 zelfevaluatietool beschikbaar gesteld via regelhulpenvoorbedrijven.nl. Door het invullen van de NIS2 self assessment weet je of de NIS2 richtlijn van toepassing is op je organisatie. Let wel op! We hebben al bij meerdere van onze relaties meegemaakt dat, na invullen van de zelfevaluatie, blijkt dat zij niet onder de NIS2 gaan vallen, maar dat zij wel leverancier zijn van andere organisaties die er wel onder vallen. Een eis binnen NIS2 is dat de keten beheerst moet worden.

Dus ook al word je niet direct zelf ‘geraakt’ door deze NIS2 directive, een klant kan jou als leverancier wel degelijk een eis opleggen/er om vragen. Dat moment wil je als organisatie voor zijn en dat kan door te zorgen dat je de zaken rondom informatiebeveiliging op orde hebt. Dat doe je bijvoorbeeld door, zoals benoemd, met ISO 27001 aan de slag te gaan en ervoor te zorgen dat je mensen met voldoende competenties in je organisatie hebt, zodat je in ieder geval duidelijk kunt verklaren waarom je techniek in elkaar zit zoals die in elkaar zit.

Stappenplan voor NIS2 implementatie

Er is nog geen concreet uitgewerkt stappenplan wat je als organisatie kunt doorlopen om aan de NIS2 eisen te voldoen. Wat wel als een paal boven water staat is dat je in elk geval – grofweg – onderstaande drie stappen dient te doorlopen:

Maak een risicoanalyse – waar zit jouw kwetsbaarheid?
Tref maatregelen – technische én organisatorische
Ontwikkel procedures – vooral rondom incidentresponse en back-upbeheer

Een goede aanpak begint met overzicht. Denk aan een GAP-analyse en technische kwetsbaarheidsscan.

NIS2 compliance: hoe voldoe je aantoonbaar aan de richtlijn?

Voldoen aan NIS2 betekent meer dan alleen maatregelen treffen. Je moet kunnen aantonen dat je dit goed hebt geregeld. Begin bijvoorbeeld met:

De NIS2 zelfevaluatie via regelhulpenvoorbedrijven.nl
Het opstellen van beleid, procedures en documentatie
Periodieke audits en interne controles

Ook belangrijk: zorg dat bestuurders aantoonbaar kennis hebben van cybersecurityrisico’s. Dat kan bijvoorbeeld met een security awareness e-learning.

Verhoog het bewustzijn!

Uit diverse bronnen blijkt dat de NIS2 wet gaat eisen dat bestuurders, commissarissen en toezichthouders een opleiding moeten doen, waarmee ze aantoonbaar kunnen maken dat ze voldoende kennis en vaardigheden hebben opgedaan om risico’s op gebied van cybersecurity te kunnen herkennen en de gevolgen ervan kunnen overzien voor hun organisatie.

Hoe voldoe je hieraan? Met behulp van onze e-learning security awareness voldoe je aan deze NIS2 eis! Bekijk onze e-learning!

Is er straks een NIS2 certificering of keurmerk?

Er bestaat momenteel geen officiële NIS2 certificering. Wel wordt vaak verwezen naar standaarden als ISO 27001. Deze norm ligt inhoudelijk sterk in lijn met de uitgangspunten van de NIS2.

Door nu te starten met ISO 27001 (en bijvoorbeeld een GAP-analyse), zorg je ervoor dat je straks klaar bent voor de Cyberbeveiligingswet. Bovendien werkt het certificaat in je voordeel bij aanbestedingen en klantvertrouwen.

NIS2 – ISO 27001 implementatiepakket

Voldoen aan de NIS2 eisen? Met het NIS2 – ISO 27001 implementatiepakket integreer je de NIS2 verplichtingen in je managementsysteem conform ISO 27001. Zo voldoe je tijdig aan de NIS2 wet.

Bekijk het NIS2 – ISO 27001 implementatiepakket

NIS2 vs. ISO 27001: wat zijn de verschillen en overeenkomsten?

Beide kaders zijn gericht op het verhogen van de digitale weerbaarheid. Maar waar ISO 27001 een gecertificeerde norm is, is NIS2 wetgeving. Belangrijke raakvlakken zijn:

Risicogebaseerd werken
Structureel verbeteren van je informatiebeveiliging
Vastleggen van beleid, processen en verantwoordelijkheden

NIS 2 vs. ISO 27001

NIS 2 vs. ISO 27001, hoe zit dat? Zoals aan het begin van dit artikel al aangegeven, is het verstandig om met ISO 27001 aan de slag te gaan en vanuit de daarin verplichte risicoanalyse passende maatregelen te treffen. Daarmee borg je dat je voorbereid bent op de komst van de Cyberbeveiligingswet.

Om de zaken op orde te krijgen, moeten dit soort onderdelen in elk geval in kaart worden gebracht:

Systeemtoegang

Is multifactor authenticatie in gebruik voor toegang tot (kritieke) systemen?
Is toegang tot systemen geregeld op basis van rollen en functies (en niet op personen)?
Is de on- en offboarding procedure beschreven en ingeregeld, waarbij de rechten worden toegekend conform de autorisatiematrix?
Wordt regelmatig gecontroleerd of de bestaande toegangsrechten nog kloppen?
Is er een password management systeem in gebruik?
Wordt van alle (kritieke) systemen loginformatie gegenereerd?

Beheer van hard- en software

Is alle in de organisatie in gebruik zijnde hardware en software in kaart?
Is device management ingeregeld en is er controle op geïnstalleerde software op laptops en telefoons?
Is er een werkwijze/procedure waarmee alle systemen regelmatig worden gepatched en bijgewerkt naar laatste versie i.v.m. security updates?
Is encryptie toegepast op informatiedragers met belangrijke bedrijfsinformatie?
Is in kaart gebracht welke IT-apparatuur benaderbaar is via het internet, is de toegang van deze apparaten beperkt tot het noodzakelijke en is de apparatuur in een separaat segment van het netwerk geplaatst?

Informatiebeveilingsbewustzijn en – beleid

Wordt er gewerkt aan bewustzijn bij medewerkers met betrekking tot securityrisico’s (bijv. malware, ransomware, phishing, CEO fraude)
Is er een proces voor het opvolgen van incidenten? Het proces omvat detecteren, analyseren en rapporteren van incidenten en het nemen van maatregelen om (de oorzaak van) het incident te verhelpen.

Backup

Is vastgesteld van welke data een back-up noodzakelijk is, met welke frequentie en welke bewaartermijn?
Worden met de juiste frequentie back-ups gemaakt?
Wordt hierbij het principe gehanteerd van 3 back-up versies van de data, op 2 verschillende media, waarvan 1 op een andere locatie)?
Wordt met regelmaat een restore-test uitgevoerd?

Dataclassificatie

Is vertrouwelijke data als zodanig geclassificeerd en zijn er bewaar- en verwijderingsprocedures?

Netwerkbeveiliging

Wordt het netwerk (en de verschillende zones daarbinnen) beveiligd door een firewall?
Is de toegang tot de verschillende Wifi netwerken gescheiden met verschillende wachtwoorden?
Is het wifi-netwerk ingesteld met de juiste encryptie?

Fysieke toegang

Is er een clean desk en clear screen beleid binnen de organisatie?

Leveranciersbeheersing

Zijn de leveranciers geïdentificeerd die invloed hebben op beschikbaarheid, integriteit en vertrouwelijkheid van relevante gegevens? Zijn hier sluitende overeenkomsten (SLA, NDA, verwerkersovereenkomst) mee afgesloten? Zijn deze leveranciers ISO 27001 gecertificeerd?

NIS2 veelgestelde vragen

Hieronder een greep uit de veelgestelde NIS2 vragen:

De NIS2 Directive is op 16 januari 2023 in werking getreden en zal, naar verwachting, derde kwartaal 2025 van kracht zijn in alle EU-lidstaten. Na publicatie op 16 januari hebben alle lidstaten van de Europese Unie namelijk de tijd gekregen om de nieuwe vereisten vanuit de NIS2 wetgeving om te zetten naar nationale wetgeving, welke in Nederland bekend zal zijn als de Cyberbeveiligingswet. Momenteel is de Nederlands overheid dus bezig om de vertaalslag te maken van NIS2 directive naar Cyberbeveiligingswet, waarbij het uitgangspunt is dat de kern, die bestaat uit meld- en zorgplicht van de richtlijn grotendeels hetzelfde blijft.
Voor de volledigheid hieronder een opsomming van de aangewezen vitale NIS2 sectoren.
Sectoren bijlage 1:
- Energie
- Transport
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Beheerders van ICT Diensten
- Bankwezen
Sectoren bijlage 2:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging/manufacturing
Bron: NCTV.nl
De NIS2 geldt straks voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (msp’s). In principe vallen kleinere bedrijven niet onder de NIS2 wetgeving. De grens komt, naar verwachting, te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers. Dat neemt echter niet weg dat wanneer jouw organisatie niet onder de NIS2 verplichting valt, er wel degelijk risico’s zijn. Ook in dat geval is het verstandig om naar het (niveau van) cybersecurity te kijken. Ook kleinere organisaties lopen risico’s zolang zij geen maatregelen treffen. De uiteindelijke schade zal vele malen groter zijn, dan de investering die je nu doet om de zaken op een acceptabel niveau te krijgen!
De NIS2 directive brengt niet alleen verplichtingen met zich mee, maar geeft organisaties ook rechten. Zo is er ondersteuning en advies van een Computer Security Incident Response Team (CSIRT). Dat team monitort en analyseert cyberdreigingen, kwetsbaarheden en incidenten en geeft organisaties, die onder de NIS2-richtlijn vallen, vroegtijdig waarschuwingen. Daarnaast deelt het team informatie over dreigingen, kwetsbaarheden en incidenten (zo verwoordde minister Adriaansen van Economische Zaken het). Met de komst van de Cyberbeveiligingswet neemt het aantal NIS2 sectoren flink toe. Onder de huidige wetgeving is het in Nederland zo dat vitale aanbieders en (onderdelen van) de recht op bijstand en advies van het Nationaal Cyber Security Center (NSCS) hebben en digitale dienstverleners van het CSIRT voor digitale diensten. Taken van deze instituten:
- Digitale kwetsbaarheden in kaart brengen en verbinden door delen van kennis en informatie;
- Dreigingen beperken en (maatschappelijke) schade voorkomen;
- Treffen van maatregelen om cyberdreiging tegen te gaan en/of bij herstel van incidenten;
- Continuïteit van diensten borgen.
De Nederlandse overheid heeft plannen om Nederlandse sectoren die onder de Cyberbeveiligingswet vallen te voorzien van beveiligingsinformatie met behulp van een nieuwe organisatie. Dat betekent dat de NCSC voor vitale sector, de CSIRT-DSP voor service providers en het Digital Trust Center samenwerken/samengaan om voortaan publieke en private, grote en kleine, vitale of niet-essentiële ondernemers van informatie te voorzien. Deze nieuwe organisatie is dan een nationaal expertisecentrum, informatieknooppunt én nationaal CSIRT (bron: cmweb.nl) wat fungeert als het eerder genoemde CSIRT. Aankomend jaar wordt hiervoor een flinke investering gedaan in (verdere) ontwikkeling van initiatieven, zoals:
- Een incidentenregister;
- Cyclotron;
- Publiek private afspraken rondom betere notificatie van slachtoffers van cyberaanvallen en mogelijke doelwitten.

Conclusie: waarom nú starten loont (en hoe wij kunnen helpen)

Wachten tot eind 2025 is geen optie. Cyberaanvallen gebeuren vandaag. De wetgeving komt eraan. En je klanten gaan eisen stellen, óók als je niet wettelijk verplicht bent. Er is immers ook sprake van de zogenaamde ‘ketenverantwoordelijkheid’ van leveranciers in de keten.

Met de juiste aanpak til je je organisatie naar een hoger niveau. Cybersecurity gaat allang niet meer alleen over risico’s beperken. Het maakt je sterker, betrouwbaarder én aantrekkelijker voor opdrachtgevers.

Wil je sparren over waar jouw organisatie staat? Of direct aan de slag met een GAP-analyse of NIS2-ISO 27001 implementatietraject? Neem gerust contact met ons op of vraag direct een offerte aan. Onze adviseurs denken met je mee.

Tobias op den Brouw

Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NIS2 - ISO 27001 implementatie pakket

Voldoe tijdig aan de NIB2-richtlijn!

Op maat inrichten
Praktische insteek
ISO 27001 integratie

Vraag aan Contact

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

Handige kennisartikelen en praktische tips voor jouw organisatie
Actuele updates rondom normen en certificeringen
Ontwikkelingen in wet- en regelgeving
Interessante acties & events
Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields