Overheid presenteert conceptuitwerking van de NIS2-richtlijn in de nieuwe Cyberbeveiligingswet.

Wat betekent dit voor uw organisatie?

Op 22 mei 2024, heeft de Nederlandse overheid eindelijk de conceptuitwerking van de NIS2-richtlijn gepubliceerd, bekend als de Cyberbeveiligingswet. Hoewel de implementatiedeadline van 17 oktober niet meer haalbaar is, biedt deze publicatie duidelijkheid over de nieuwe eisen die gesteld worden aan informatiebeveiliging. Deze wet zal aanzienlijke gevolgen hebben voor middelgrote en grote bedrijven, evenals voor enkele specifieke deelsectoren.

Blog, NIS2.0
6 juni 2024

Wat is de NIS2-richtlijn?

De NIS2-richtlijn, of Network & Information Security-richtlijn, is de opvolger van de NIS1-richtlijn en heeft als doel een hoog niveau van cyberbeveiliging in de Europese Unie te waarborgen. De richtlijn legt uniforme informatiebeveiliging-eisen op aan bedrijven en organisaties binnen de EU om digitale dreigingen beter te kunnen weerstaan en de impact van cyberincidenten te verkleinen.

Belangrijkste onderwerpen van de Cyberbeveiligingswet

De Cyberbeveiligingswet breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit en introduceert nieuwe verplichtingen voor een bredere groep entiteiten. Hier zijn de belangrijkste punten:

 

Uitbreiding van het toepassingsbereik:

  • Naast de sectoren die al onder de NIS1-richtlijn vielen, omvat de NIS2-richtlijn nu ook sectoren zoals afvalwaterbeheer, ruimtevaart, post- en koeriersdiensten, en levensmiddelenproductie.
  • Zowel middelgrote ondernemingen als bedrijven die kritieke diensten verlenen, vallen onder deze richtlijn.

 

Verplichtingen voor essentiële en belangrijke entiteiten:

  • Organisaties worden geclassificeerd als essentiële of belangrijke entiteiten, afhankelijk van hun rol en omvang binnen de sector. Essentiële entiteiten hebben te maken met strengere toezichtsregimes.
  • Deze entiteiten moeten maatregelen nemen om cyberbeveiligingsrisico’s te beheren en significante incidenten te melden.

 

Technische en organisatorische maatregelen:

  • Bedrijven moeten passende en evenredige maatregelen treffen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen. Dit omvat ten minste 10 aanvullende maatregelen, afhankelijk van de specifieke risico’s en sector. Voorbeelden van significante nieuwe maatregelen zijn onder andere:

    1. Bestuurders krijgen de verplichting om aan te tonen dat zij trainingen volgen op het gebied van informatiebeveiliging en deze kennis binnen de organisatie uitdragen (Artikel 2.5.1).
    2. Implementatie van geavanceerde detectie- en responsmechanismen om cyberdreigingen snel te kunnen identificeren en neutraliseren (Artikel 2.6.1).
    3. Uitbreiding van de meldplicht voor significante incidenten naar bijna-incidenten en dreigingen, wat vrijwillige meldingen aanmoedigt (Artikel 5.5.3).
    4. Invoering van periodieke beveiligingsaudits door externe partijen om de effectiviteit van de genomen maatregelen te evalueren (Artikel 5.7.7).
    5. Verplichting voor bedrijven om een formeel informatiebeveiligingsbeleid op te stellen en te handhaven, inclusief procedures voor incidentrespons (Artikel 5.3.2).
    6. Aanwijzing van specifieke sectoren zoals afvalwaterbeheer en ruimtevaart die onder de NIS2-richtlijn vallen (Artikel 5.1.1.2).
    7. Oprichting van een nationale cyberbeveiligingsstrategie die de strategische doelstellingen en benodigde middelen vastlegt (Artikel 2.6.1).
    8. Verplichting voor entiteiten om een risicoanalyse uit te voeren en passende maatregelen te treffen op basis van de resultaten (Artikel 5.3.3).
    9. Toezicht op de naleving van de richtlijn door aangewezen toezichthouders met nieuwe bevoegdheden voor effectieve controle (Artikel 5.7.2).
    10. Verplichting om informatie te delen met de Computer Security Incident Response Teams (CSIRT) en andere bevoegde autoriteiten (Artikel 5.6.1).

 

 Meldplicht:

  • Bij significante incidenten moeten meldingen zowel bij de Computer Security Incident Response Team (CSIRT) als bij de bevoegde autoriteit worden ingediend.
  • Vrijwillige meldingen van (bijna-)incidenten en dreigingen zijn ook mogelijk en worden aangemoedigd.

 

Toezicht en handhaving:

  • De naleving van de richtlijn wordt streng gehandhaafd door aangewezen toezichthouders. Er worden nieuwe bevoegdheden geïntroduceerd om effectieve controle en handhaving te waarborgen.

 

Impact van de conceptversie Cyberbeveiligingswet op de bedrijfsvoering

De Cyberbeveiligingswet betekent dat veel bedrijven hun informatiebeveiligingsbeleid moeten herzien en versterken. Middelgrote en grote bedrijven, vooral in de digitale sector, zullen aanzienlijk moeten investeren in het verbeteren van hun beveiligingsmaatregelen. De verplichtingen zullen ook doorwerken naar bedrijven die indirect betrokken zijn via hun klanten.

 

Conclusie

Dit is de voorlopige versie. Het is echter een veilige aanname dat deze voor 95% zal blijven staan. Op basis hiervan en onze inhoudelijke kennis en ervaring met de NIS2.0 maakt dat we u kunnen ondersteunen op weg naar compliance en certificering.

Blijf op de hoogte van de laatste ontwikkelingen rondom de Cyberbeveiligingswet en zorg ervoor dat uw bedrijf compliant is en blijft. Voor meer informatie en om te zien hoe wij u kunnen helpen bij de naleving van de NIS2-richtlijn, neem contact met ons op!

Direct advies?

Neem contact met ons op