De Europese Unie heeft de afgelopen jaren aanzienlijke stappen gezet om de cyberbeveiliging binnen haar lidstaten te versterken. Een van de belangrijkste initiatieven op dit gebied is de NIS2-richtlijn, de opvolger van de oorspronkelijke NIS-richtlijn (Netwerk- en Informatiebeveiligingsrichtlijn). De nieuwe richtlijn, aangenomen op 16 januari 2023, heeft als doel om de cyberweerbaarheid van essentiële en belangrijke sectoren te verbeteren. Maar wat houdt NIS2 precies in, en wat is de huidige status van de implementatie ervan in Nederland?

Wat is NIS2?

NIS2 staat voor Network and Information Security Directive 2 en richt zich op het vergroten van de digitale weerbaarheid van kritieke infrastructuren en diensten. Waar de oorspronkelijke NIS-richtlijn vooral gericht was op een beperkt aantal sectoren, zoals energie, transport, gezondheidszorg en waterbeheer, breidt NIS2 deze scope aanzienlijk uit. Nieuwe sectoren zoals voedselvoorziening, ruimtevaart en post- en koeriersdiensten vallen nu ook onder de richtlijn. Bovendien stelt NIS2 strengere eisen aan cybersecuritymaatregelen en rapporteerplicht bij incidenten.

Een van de belangrijkste vernieuwingen is de invoering van strengere sancties en toezichtmechanismen. Organisaties die niet voldoen aan de richtlijn kunnen zware boetes opgelegd krijgen, en toezichthoudende instanties hebben meer bevoegdheden om audits uit te voeren en naleving af te dwingen. Ook de harmonisatie van regels tussen lidstaten speelt een grote rol in NIS2, met als doel een gelijk speelveld te creëren binnen de Europese Unie.

Status van NIS2 in Nederland

Hoewel de NIS2-richtlijn al is aangenomen, zijn lidstaten verplicht om deze uiterlijk op 17 oktober 2024 om te zetten in nationale wetgeving. In Nederland is het Ministerie van Economische Zaken en Klimaat (EZK) verantwoordelijk voor deze implementatie. Er zijn inmiddels diverse stappen gezet om de richtlijn te verankeren in de Nederlandse wetgeving, maar de volledige uitvoering is nog in proces.

In maart 2023 publiceerde het EZK (Ministerie van Economische Zaken en Klimaat) een consultatiedocument waarin belanghebbenden konden reageren op de voorgestelde aanpak. Deze consultatie heeft geleid tot waardevolle feedback van bedrijven, brancheorganisaties en experts. Een belangrijk aandachtspunt hierbij is de afstemming tussen de NIS2-richtlijn en bestaande wet- en regelgeving, zoals de Wet beveiliging netwerk- en informatiesystemen (Wbni). Nederland zal deze wetten moeten aanpassen of uitbreiden om te voldoen aan de eisen van NIS2.

Daarnaast speelt ook de praktische uitvoerbaarheid een rol. Bedrijven maken zich zorgen over de extra kosten en administratieve lasten die de richtlijn met zich meebrengt. Het EZK heeft aangegeven hier rekening mee te houden door een evenwichtige aanpak te zoeken die enerzijds zorgt voor naleving van de richtlijn, maar anderzijds bedrijven niet onnodig belast.

Lemontree, NIS2, ISO27001 en ISAE 3402 type1 en type2

Afgelopen tijd is Lemontree druk bezig geweest met een baseline voor security en het verder professionaliseren van processen met als doel het verkrijgen van ISAE3402 verklaringen. Met als gevolg dat we in oktober de felbegeerde type2 verklaring mochten ontvangen. In dit ISAE3402 traject hebben we ons specifiek gefocust op beleid, procedures en richtlijnen die onder andere voor NIS2 belangrijk zijn. In combinatie met ISO27001 zijn hierin alle onderdelen van NIS2 afgevinkt en is Lemontree officieel NIS2 compliant.

Lemontree meer dan klaar voor NIS2

Hoewel NIS2 in Nederland door vertraging bij de overheid nog niet in de wetgeving is verankerd, is Lemontree al klaar om aan de Europese richtlijnen en wetgeving te voldoen. Dat betekent dat onze klanten kunnen vertrouwen op vooraf bewezen kwaliteit van (security)diensten. Om op het vlak van informatiebeveiliging nog meer waarde toe te voegen heeft Lemontree Managed Detection & response en securitytraining voor eindgebruikers aan het dienstenportfolio toegevoegd. Dat betekent dat klanten kunnen terugvallen op het continue monitoren van gebeurtenissen in de IT-omgeving en adequate opvolging als er dreigingen worden waargenomen. En, heel belangrijk, dat eindgebruikers door het gebruik van AI gedreven phishingmails en gamification cyberweerbaarder worden gemaakt.

Deel dit artikel met anderen