Je hebt er vast al wel wat over gehoord of gelezen: NIS2. Een Europese richtlijn om cybersecurity in heel Europa te verbeteren. NIS2 wijst op de tweede generatie Network and Information Systems richtlijnen. Want in 2016 werd NIS al geïntroduceerd voor bedrijven in de ‘primaire sector’. Ofwel bedrijven en organisaties die essentiële dienstverlening voor de samenleving bieden, zoals nutsbedrijven. Zij moeten al ruime tijd maatregelen nemen om hun informatie te beveiligen en hun weerbaarheid tegen cybercriminaliteit te verbeteren.
Omdat het aantal cyberaanvallen (zoals phishing, ransomware en malware) schrikbarend toeneemt, heeft het Europees Parlement ingestemd met NIS2. een Europese richtlijn om cybersecurity af te dwingen bij bedrijven en organisaties in veel meer sectoren en groottes. Zo zal NIS2 ook gaan gelden voor banken, zorginstellingen, transportbedrijven, productiebedrijven en vele anderen. Waarschijnlijk komt de grens ergens bij 10 miljoen euro omzet of vijftig medewerkers te liggen. Alle Europese landen zijn op dit moment bezig om de Europese NIS2 regels lokaal vorm te geven. In Nederland zal de NIS2 onder de naam NIB2 (Netwerk en InformatieBeveiliging) ingevoerd gaan worden. De verwachting is dat dit in het najaar van 2024 zal plaatsvinden.
Zorgplicht en meldplicht
De basis van de NIS2 richtlijnen bestaat uit twee onderdelen: de zorgplicht en de meldplicht.
- De zorgplicht verplicht organisaties om hun infrastructuur veilig te hebben en veilig te houden. Hiervoor wordt het verplicht om het netwerk goed te monitoren. Wellicht wordt ook geëist dat organisaties voldoen aan de ISO 27001-norm. Dat zal voor veel organisaties een flinke investering in tijd en geld betekenen.
- Organisaties moeten in de nieuwe richtlijn cyberincidenten melden. Die meldplicht geldt nu al voor datalekken, maar wordt straks ook verplicht om bijvoorbeeld een ransomware-aanval of misbruik van een kwetsbare plek te melden. Deze meldplicht moet ervoor zorgen dat organisaties zich beter kunnen beschermen en van elkaar leren.
Straffen
Organisaties die zouden moeten voldoen aan NIS2 maar dit niet doen, kunnen een boete krijgen van maximaal 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet. Daarnaast kunnen bestuurders en securityverantwoordelijken persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regels. Soortgelijke straffen dus die we al kennen van de AVG.
Maturity van beveiliging
Veel organisaties moeten flink aan de slag om hun cybersecurity volwassen te maken. En ook al moet de Nederlandse overheid nog besluiten aan welke eisen een bedrijf precies moet voldoen, het is verstandig om nu al in kaart te brengen hoe volwassen je cybersecurity is.
- Heb je een cybersecuritybeleid?
- Wordt het netwerk gemonitoord op bedreigingen, kwetsbaarheden en aanvallen?
- Zijn medewerkers zich bewust van beveiligingsrisico’s en herkennen zij bijvoorbeeld phishingmails en andere technieken die cybercriminelen gebruiken?
- Gebruik je consequent beveiligingsmaatregelen als multifactor-authenticatie?
- ZIjn er op de werkplek beveiligingsmaatregelen genomen om criminelen buiten de deur te houden?
- Heb je vergevorderde stappen gezet op het vlak van identity en access management (IAM)?
Is het antwoord op één of meerdere vragen ‘nee’ dan is het verstandig nu alvast te gaan nadenken over de invulling van dat punt. Vanaf volgend jaar zul je dan in ieder geval op die vlakken aan de bak moeten.