NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!
NIS2 Directive en andere wet- en regelgeving: hoe regel je dat in binnen jouw organisatie? Een handig stappenplan!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlOnlangs publiceerden we al een artikel over wet- en regelgeving in relatie tot informatiebeveiliging en ISO 27001. Daarin benoemden we dat we bij CertificeringsAdvies Nederland (CAN) een register bijhouden van wet- en regelgeving en hoe dat in een managementsysteem voor informatiebeveiliging een rol kan spelen. Maar wat nu als er een nieuwe wet komt? Eentje waarvan je zelf dient te interpreteren wat te doen? Een specialistische wet voor jouw branche of sector? We helpen je op weg.
Nieuwe wetgeving… en dan?
Mocht je niet al periodiek een aantal bronnen checken voor aankomende wetgeving (tip: doet dat dus wel, bijvoorbeeld via KvK of een brancheorganisatie), dan word je wellicht verrast door wetgeving zodra deze in het nieuws is. Vanaf dat moment heb je misschien nog maar één tot anderhalf jaar de tijd om je organisatie daarop in te richten.
Onderstaande is misschien wat overdreven, maar de volgende vragen komen in dat geval bovendrijven:
- Er komt nieuwe wetgeving aan op korte termijn… help. Wat betekent dit voor mijn organisatie?
- Wat moet ik allemaal in gaan regelen?
- Waar moet ik beginnen? Wat is het stappenplan?
- Wie moet dit op gaan pakken?
- Wanneer ben ik ‘goed’ bezig?
NIS2 Directive (update Wbni)
Laten we eens kijken of we de hierboven genoemde vragen in kunnen vullen voor een ‘nieuwe’ wet. Als voorbeeld pakken we de aankomende NIS2, ofwel de update voor de Wbni. Deze kwam onlangs in het nieuws voorbij, met enige urgentie.
Wbni
Wbni staat voor Wet Beveiliging Netwerk- en Informatiesystemen. Deze wet is per 9 november 2018 van kracht en regelt een meldplicht van incidenten en een zorgplicht (treffen van beveiligingsmaatregelen). De Wbni geldt voor vitale aanbieders, rijksoverheid, digitale dienstverleners. Bron: rijksoverheid.nl.
Wanneer je dat voorbij ziet komen, ga je uiteraard niet op de nieuwsbron af, maar ga je naar de bron van de wet en zoekt dus de wettekst op. Bronnen die je daarvoor in Nederland kunt raadplegen zijn wetten.overheid.nl of stukken in behandeling die terug te vinden zijn op de sites van de Eerste of Tweede Kamer. Voor wetgeving vanuit de Europese Unie ga je naar EUR-Lex waar je tekst van het voorstel vindt – althans dit was het geval bij NIS2 tijdens het schrijven van dit artikel.
NIB2-richtlijn
In 2020 is er door de Europese Unie een nieuwe EU ‘Cybersecurity Strategy’ gepresenteerd. Een conclusie is dat de huidige richtlijn NIS1 uit 2016 is verouderd. NIS staat voor Network and Information Security Directive. In de NIS staat wat organisaties moeten doen om cybercriminelen buiten de deur te houden. De NIS1 richtlijn kende echter geen enkele verplichting.
Europa moet komende maanden een flinke inhaalslag maken met beveiliging tegen cybercriminaliteit, wat een ontzettend snelgroeiende dreiging is. O.a. banken, ziekenhuizen, nutsbedrijven en andere bedrijven van bepaalde omvang moeten zich straks in heel Europa verplicht beveiligingen tegen cybercriminelen. Daarvoor ligt een nieuwe conceptwet klaar, de NIS2, welke in Nederland ook de NIB2-richtlijn wordt genoemd. Het Europees Parlement is vastbesloten om snel stappen te maken. (Bron: AD.nl)
Afhankelijk van het soort wet kan er een inwerkingsdatum genoemd worden, ofwel het moment waarop een wet van kracht gaat zijn. Houd er daarbij rekening mee dat een wet, zoals bijvoorbeeld de AVG-wet, vaak jaren eerder formeel van kracht is dan het moment waarop naleving echt noodzakelijk is. De wetgever houdt namelijk rekening met de tijd die ze nodig en wenselijk acht voor organisaties om de wet te volgen.
Update NIS2-wetgeving per 16 januari 2023
De Europese Unie lidstaten hebben afgelopen week een akkoord bereikt over herziening van de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) welke in Europa bekend is onder de NIS2 (Network- and Information Systems) Directive. De NIB2-richtlijn wordt 16 januari 2023 gepubliceerd en zal in 2024 van kracht zijn in alle EU-lidstaten.
Meer lezen? Bekijk het artikel: Uitbreiding EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) moet digitale veiligheid flink gaan verhogen
De wet inregelen in je organisatie: zo pak je dat aan
Wat je als organisatie precies in moet regelen, is niet altijd 100% duidelijk. Wetten als de AVG-wet spreken over ‘passende maatregelen’. Dat betekent in feite zelf een risicoanalyse uitvoeren en kijken naar over te nemen ‘best practices’. Hoe zit dat dan voor de NIS2? We hebben de tekst erop nageslagen. NIS2 komt in ieder geval met een aantal opsommingen. Neem bijvoorbeeld artikel 18 lid 2 waarin staat:
2.
De in lid 1 bedoelde maatregelen omvatten ten minste het volgende:
- (a) risicoanalyse en beleid inzake de beveiliging van informatiesystemen;
- (b) incidentenbehandeling (preventie en opsporing van en respons op incidenten);
- (c) bedrijfscontinuïteit en crisisbeheer;
- (d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar leveranciers of dienstverleners, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking of beheerde beveiligingsdiensten;
- (e) beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- (f) beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen; NL 51 NL
- (g) het gebruik van cryptografie en encryptie.
Bron: eur-lex.europa.eu
Het betreft hier een wet over informatiebeveiliging. Qua stappenplan is het dan logisch om te kijken naar ISO 27001, het managementsysteem voor informatiebeveiliging. Op de website van CAN vind je daar diverse stappenplannen voor. In het specifieke geval van bovenstaande opsomming is het prettig dat deze maatregelen goed overlappen met ISO 27001. Hieronder laten we zien hoe de opsomming gedekt wordt door ISO 27001:
- a) 5.2 en 6.1
- b) A.16
- c) A.17
- d) A.15
- e) A.14 en A.12.6.1
- f) 9.2 en A.18.2
- g) A.10
Uiteraard kun je de wet ook (nog) bekijken vanuit andere invalshoeken. Passage c) uit de opsomming spreekt over bedrijfscontinuïteit en crisisbeheer. Je kunt hierbij denken aan Business Continuity Management (BCM) en de ISO 22301 die daarbij hoort. BCM richt zich specifiek op het continueren van je bedrijfsprocessen bij noodsituaties. De vraag die je jezelf daarbij moet stellen: wat moet ik organiseren als ik niet meer kan leveren?
Een hack, een uitval van je toeleverancier of zelfs (hoe relevant) een pandemie, zijn misschien klein, maar de gevolgen zijn gigantisch groot. Als bedrijf dien je daarom vanuit een BCM perspectief je plannen klaar te hebben liggen voor het geval dat er een noodsituatie ontstaat. Denk daarbij aan een back-up van je systemen, noodprotocollen bij een hack, spreiding van je leveranciers etc. Alles kan helpen. Daarbij is het vooral belangrijk om alles regelmatig daadwerkelijk te testen en evalueren: het plan op papier moet immers praktisch ook toepasbaar zijn om waarde te hebben.
Wie pakt het op?
Om dan gelijk de vraag te beantwoorden: wie moet dit in gaan regelen? Met het oog op NIS2: in veel organisaties die met dit soort wetgeving te maken krijgen zijn bijvoorbeeld al mensen in dienst in de rol van Security Officer (of CISO), Functionaris Gegevensbescherming ed. In andere organisaties kan het hoofd IT of bijvoorbeeld een KAM-manager hier (zijdelings) een rol inspelen. Ga in elk geval per wet na bij wie zoiets op het bordje hoort te liggen, bekijk of je daarvoor iemand in dienst hebt of dat je bijvoorbeeld een team moet formuleren, iemand externs (adviserend) moet aantrekken of juist iemand moet gaan aannemen.
Update maart 2024: Komst van ‘Europese AI Act’
Per maart 2024 heeft het Europees Parlement ingestemd met de komst van de Europese AI Act. De wet geeft duidelijke regels rond e grootste technologische ontwikkeling van dit moment: kunstmatige intelligentie.
ISO/IEC 42001 specificeert eisen voor een Artificial Intelligence Management System (AIMS). Het is de eerste AI management systeem standaard ter wereld. Organisaties die deze ISO implementeren, managen op gestructureerde wijzen risico’s en kansen in relatie tot AI.
Ondersteuning nodig?
Wil je aan de slag met het uitdiepen/inregelen van NIS2 voor jouw organisatie? Of wil je eens met ons sparren over de voor jouw organisatie geldende wet- en regelgeving? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Bovendien heb je daarmee gelijk antwoord op de laatste vraag uit onze opsomming: ‘wanneer ben ik goed bezig?’ Onze adviseurs hebben ruime ervaring met dit soort wetgeving en het inregelen ervan bij uiteenlopende organisaties. Dat geeft in ieder geval een hoge mate van garantie dat je de juiste stappen aan het zetten bent.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
NIS2 - ISO 27001 implementatie pakket
Voldoe tijdig aan de NIB2-richtlijn!
- Op maat inrichten
- Praktische insteek
- ISO 27001 integratie
