Uitbreiding EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2-richtlijn) moet digitale veiligheid flink gaan verhogen

De NIB2 komt eraan. Wat houdt het in? Voor wie geldt het? En hoe ga je ermee aan de slag?

NIB2 wetgeving
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De Europese Unie lidstaten hebben enige tijd geleden een akkoord bereikt over herziening van de EU Netwerk- en Informatiebeveiligingsrichtlijn (NIB2) welke in Europa bekend is onder de NIS2 (Network- and Information Systems) Directive. De NIS2 treedt op 16 januari 2023 in werking. EU-landen hebben dan tot 17 oktober 2024 de tijd om nieuwe vereisten omtrent netwerk- en informatiebeveiliging om te zetten in nationale wetgeving (wat in Nederland dus onder de NIB2 valt).

Wil je meer lezen over de NIB2, of in het Engels NIS2, met daarbij een plan van aanpak omtrent hoe je e.e.a. inregelt in je organisatie? Lees dan ons eerder geschreven artikel: NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!

Passende cybermaatregelen voor meer sectoren

Beter beveiligde netwerk- en informatiesystemen en een meldplicht voor ernstige cyberincidenten moeten de digitale veiligheid in de EU flink gaan verhogen. Dat betekent dat per 2024 de volgende spelers passende cybermaatregelen moeten gaan nemen:

  • De belangrijkste spelers in de voedingsmiddelensector (industriële voedselproductie en distributie zoals grote supermarktketens)
  • Partijen in chemische- en maakindustrie
  • Afvalverwerkers
  • Post- en koeriersdiensten
  • Datacenters

Onder de huidige richtlijn zijn aanbieders van essentiële diensten zoals bijvoorbeeld banken en digitale partijen zoals clouddiensten ed. door de Rijksoverheid aangewezen om maatregelen te nemen in het kader van het verbeteren van de digitale veiligheid. Daarnaast zijn zij al verplicht ernstige cyberincidenten te melden. Op dat alles wordt ook toezicht gehouden.

Essentiële en belangrijke aanbieders

Zoals hierboven benoemd zal het aantal sectoren dat hieronder valt per 2024 fors uitgebreid worden. Organisaties kunnen dan onder twee categorieën vallen:

  • Essentiële aanbieders
  • Belangrijke aanbieders

Bij essentiële aanbieders is het toezicht straks proactief en bij de belangrijke aanbieders zal dat toezicht achteraf plaatsvinden als er aanwijzingen zijn dat er een incident heeft plaatsgevonden. Deze laatste groep bestaat voornamelijk uit (middel)grote partijen, waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben.

Naast de meldplicht geldt dan ook de zorgplicht. Dat betekent dat alle partijen verplicht zijn om veiligheidsmaatregelen te nemen. Daarbij draait het om het verhogen van de beveiliging van de toeleveringsketen en het op orde brengen van de wijze van afhandeling van cyberincidenten.

Jan Penning: “Het hele ISO-traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!”
Wil je de hele ervaring van onze klant WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

De impact van NIS2 op Nederlandse organisaties

Zoals hierboven benoemd treedt de NIS2 Directive op 16 januari 2023 in werking. EU-landen, waaronder Nederland, hebben dan tot 17 oktober 2024 de tijd om de NIS2, die in Nederland NIB2 (Netwerk-en-informatiebeveiliging richtlijn) heet, om te zetten in wetgeving. De Nederlandse overheid moet de vertaalslag gaan maken van NIS2 naar NIB2, maar het uitgangspunt is dat de kern, die bestaat uit de hierboven genoemde meld- en zorgplicht, van de richtlijn grotendeels hetzelfde blijft.

Ondanks dat nog niet helemaal duidelijk is hoe de NIB2 eruit komt te zien, staat vast dat het voor tal van organisaties impact heeft en er dus werk aan de winkel is. Deze organisaties moeten maatregelen treffen om de informatiebeveiligings-volwassenheid naar een hoger niveau te brengen. De exacte hoogte daarvan wordt nog bepaald door de Nederlandse overheid.

Per 2024 wordt, zoals in de vorige alinea gezegd, het aantal sectoren dat maatregelen moet gaan treffen flink uitgebreid. Naar verwachting betekent dit dat er in Nederland zo’n zesduizend extra organisaties moeten gaan voldoen aan de nieuwe wetgeving.

Bron: Computable.nl

Wees alert, start vandaag nog!

Om de netwerk- en informatiebeveiliging te verbeteren is het goed dat er allerlei wet- en regelgeving, zoals de NIB2, is/komt. Dat neemt echter niet weg dat wij adviseren om daar niet op te wachten (voor het geval je hier nog niet mee te maken hebt). Voorkomen is immers beter dan genezen. Dat geldt ook voor wanneer je niet binnen de scope van de NIS2 valt. Ook dan adviseren wij om maatregelen te treffen, want ook jouw organisatie loopt risico.

Om informatiebeveiliging(smanagement) kan namelijk geen enkele organisatie meer heen. Er niét mee aan de slag gaan is geen optie; de risico’s op stilvallen van de organisatie (bijvoorbeeld als gevolg van ransomware) en/of schade voor belanghebbenden zijn daarvoor te groot. In veel organisaties komt het onderwerp desondanks pas echt hoog op de directieagenda als de druk van buitenaf wordt opgevoerd, bijvoorbeeld in de vorm van een ISO-certificering als onderdeel van aanbestedingseisen.

Wil je op een laagdrempelige en toegankelijke manier beginnen met informatiebeveiliging en/of ISO 27001? Bekijk dan eens ons ‘opstaptraject informatiebeveiliging‘.

Wil je aan de slag met het uitdiepen/inregelen van NIB2 voor jouw organisatie? Of wil je eens met ons sparren over de voor jouw organisatie geldende wet- en regelgeving? Neem gerust contact met ons op. Onze adviseurs helpen je graag op weg!

NIS2 implementatiepakket

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NIS2 - ISO 27001 implementatie pakket

Voldoe tijdig aan de NIB2-richtlijn!

  • Op maat inrichten
  • Praktische insteek
  • ISO 27001 integratie

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields