Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

De NIS-voorschriften 2018 (Network and Information Systems Regulations)

Startpagina Woordenlijst De NIS-voorschriften 2018 (Network and Information Systems Regulations)

De Network and Information Systems (NIS) Regulations 2018 is een Britse wetgeving die op 10 mei 2018 in werking is getreden. De voorschriften zijn bedoeld om een hoog, gemeenschappelijk niveau van netwerk- en informatiesysteembeveiliging in het Verenigd Koninkrijk te waarborgen. De NIS-regels introduceren een nieuwe benadering voor het beheer van cyberrisico’s door organisaties, met de nadruk op systemen die essentieel zijn voor het leveren van essentiële diensten en digitale diensten.

De NIS-voorschriften worden geïmplementeerd en gehandhaafd door bevoegde autoriteiten, die specifieke toezichthoudende instanties zijn binnen elke sector. Deze autoriteiten zijn belast met het beoordelen van de beveiligingsmaatregelen binnen hun respectievelijke sectoren en het stimuleren van verbeteringen waar nodig.

De NIS-voorschriften 2018 (Network and Information Systems Regulations)

Wat zijn de NIS-voorschriften 2018?

De NIS-voorschriften 2018 zijn afgeleid van de Europese richtlijn inzake de beveiliging van netwerk- en informatiesystemen, vaak aangeduid als de NIS-richtlijn. Het Verenigd Koninkrijk, destijds lid van de EU, was verplicht om de richtlijn op te nemen in de nationale wetgeving en de NIS-voorschriften 2018 werden vervolgens aangenomen. De NIS 2-richtlijn werd in 2020 aangenomen.

Hoewel het VK de EU heeft verlaten, blijven de NIS-voorschriften van kracht, waarmee het voortdurende streven naar een hoog niveau van cyberbeveiliging in het VK wordt weerspiegeld.

De structuur van de NIS-voorschriften

De NIS-voorschriften bestaan uit 35 bepalingen, onderverdeeld in zes delen:

  • Algemeen
  • Operators van essentiële diensten
  • Digitale dienstverleners
  • Bevoegde autoriteiten en Single Point of Contact
  • Sancties
  • Slotbepalingen

Elk deel behandelt een specifiek aspect van de NIS-voorschriften en geeft details over de vereiste, rollen en verantwoordelijkheden, handhaving en sancties bij niet-naleving.

De NIS-voorschriften bevatten ook diverse bijlagen die verder ingaan op onderwerpen zoals criteria voor het identificeren van Operators van Essentiële Diensten, handhavingsmaatregelen, beroepsprocedures en meer.

NIS-voorschriften 2018 versus de Europese NIS-richtlijn: overeenkomsten en verschillen

De NIS-voorschriften en de EU NIS-richtlijn delen dezelfde doelstellingen en principes, gericht op het verbeteren van cyberbeveiliging bij essentiële diensten en digitale dienstverleners. Er zijn echter verschillen in toepassing en handhaving, voornamelijk vanwege de specifieke nationale overwegingen en het risicoprofiel van het VK.

Bovendien vereist de NIS-richtlijn dat lidstaten één bevoegde autoriteit aanwijzen om de toepassing van de richtlijn te monitoren, terwijl het VK onder de eigen NIS-voorschriften meerdere bevoegde autoriteiten heeft, elk verantwoordelijk voor een specifieke sector.

Het doel van de NIS-voorschriften

Het primaire doel van de NIS-voorschriften is het bereiken van een hoog niveau van beveiliging van netwerk- en informatiesystemen binnen het VK. Dit is van cruciaal belang, aangezien de afhankelijkheid van informatiesystemen en digitale diensten aanzienlijk is toegenomen, waardoor ze aantrekkelijke doelwitten zijn voor cyberbedreigingen. De implementatie van strenge beveiligingsmaatregelen kan de risico’s die met deze bedreigingen gepaard gaan aanzienlijk beperken.

De NIS-voorschriften zijn ook bedoeld om een kader te creëren voor samenwerking en informatie-uitwisseling tussen lidstaten bij een cyberincident. Deze grensoverschrijdende samenwerking is essentieel om een robuuste en effectieve respons op belangrijke cyberbedreigingen en -aanvallen te waarborgen.

Wat is de reikwijdte van de NIS-voorschriften?

De NIS-voorschriften zijn van toepassing op twee hoofdtypen entiteiten:

  • Operators van Essentiële Diensten (OES)
  • Digitale Dienstverleners (DSP’s)

De voorschriften erkennen dat de invulling van wat een OES of DSP is per sector kan verschillen. Daarom identificeert de bevoegde autoriteit binnen haar sector de entiteiten die voldoen aan de criteria die in de voorschriften zijn vastgelegd.

Operators van Essentiële Diensten (OES) zijn organisaties die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Deze diensten moeten voldoen aan criteria zoals afhankelijkheid van netwerk- en informatiesystemen, een impact die leidt tot aanzienlijke verstoringen van de dienstverlening en het feit dat de entiteit in het VK is gevestigd. Voorbeelden van OES zijn organisaties in sectoren als energie, transport, gezondheidszorg, drinkwatervoorziening en distributie, en digitale infrastructuur.

Digitale Dienstverleners (DSP’s) zijn entiteiten die digitale diensten van een specifiek type aanbieden, namelijk online marktplaatsen, zoekmachines en cloudcomputingdiensten. DSP’s zijn verplicht een hoog beveiligingsniveau te waarborgen en bevoegde autoriteiten op de hoogte te stellen van significante incidenten. De voorschriften geven bevoegde autoriteiten ook de bevoegdheid om informatie op te vragen en instructies te geven aan DSP’s om naleving te waarborgen.

Identificatie van Operators van Essentiële Diensten

De NIS-voorschriften vereisen dat bevoegde autoriteiten de operators van essentiële diensten binnen hun sector identificeren op basis van een aantal criteria. Deze criteria houden rekening met aspecten zoals het type dienst, de potentiële impact van een incident en het aantal getroffen gebruikers.

De identificatie van deze operators wordt regelmatig herzien om ervoor te zorgen dat deze blijft aansluiten bij de risico’s die in elke sector spelen.

Rechtsbevoegdheid van de NIS-voorschriften

De NIS-voorschriften zijn van toepassing op OES en DSP’s die hun hoofdkantoor in het VK hebben of een vertegenwoordiger in het VK aanwijzen als het hoofdkantoor buiten het VK is gevestigd. Door het mondiale karakter van digitale diensten en de mogelijk verstrekkende gevolgen van cyberincidenten hebben de voorschriften echter een inherente internationale dimensie.

In dit opzicht bieden de NIS-voorschriften een kader voor grensoverschrijdende coördinatie van reacties op grote cyberincidenten, het bevorderen van samenwerking en het delen van informatie tussen lidstaten.

Belangrijkste bepalingen in de NIS-voorschriften 2018

De NIS-voorschriften 2018 zijn bedoeld om de nationale cyberbeveiligingscapaciteiten te verbeteren, de samenwerking tussen EU-lidstaten te vergroten en netwerk- en informatiesystemen in het VK te beveiligen. De belangrijkste bepalingen van de voorschriften zijn onder andere:

Operationele en technische maatregelen

De NIS-voorschriften vereisen dat zowel OES als DSP’s passende en proportionele operationele en technische maatregelen nemen om de risico’s voor hun netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten de beveiliging, integriteit, continuïteit en beschikbaarheid van hun diensten waarborgen.

Richtlijnen over de details van deze maatregelen worden verstrekt door de bevoegde autoriteiten, afgestemd op de specifieke aard en risico’s van elke sector. Denk hierbij aan beveiligingsbeleid, bescherming tegen ongeautoriseerde toegang, procedures voor incidentafhandeling en plannen voor bedrijfscontinuïteit.

Meldingsplicht bij beveiligingsincidenten

Onder de NIS-voorschriften zijn OES en DSP’s verplicht elk incident dat een aanzienlijke impact heeft op de continuïteit van de essentiële dienst die zij leveren te melden. Incidenten moeten zonder onnodige vertraging en uiterlijk binnen 72 uur na het bekend worden bij de relevante bevoegde autoriteit worden gemeld.

De melding moet een beschrijving van het incident bevatten, de impact en de genomen of geplande herstelmaatregelen. Het doel is dat de bevoegde autoriteiten de grensoverschrijdende impact kunnen beoordelen en een effectieve respons kunnen coördineren.

Mechanismen voor incidentrapportage

De NIS-voorschriften verplichten de bevoegde autoriteiten tot het opzetten van effectieve mechanismen voor incidentrapportage. Deze mechanismen moeten OES en DSP’s in staat stellen aan hun meldingsplicht te voldoen en het delen van informatie over bedreigingen en incidenten vergemakkelijken.

Deze mechanismen dienen ook als instrument om het bewustzijn van cyberbeveiligingsrisico’s te vergroten en een cultuur van beveiliging en veerkracht onder OES en DSP’s te bevorderen.

Verplichtingen op het gebied van risicobeheer

De NIS-voorschriften leggen OES en DSP’s de verplichting op om risicobeheerpraktijken toe te passen. Deze praktijken moeten het mogelijk maken om risico’s voor de netwerk- en informatiesystemen die zij gebruiken in hun bedrijfsvoering te identificeren, beoordelen en beheersen.

Dergelijke praktijken omvatten uitgebreide risicobeoordelingen, het nemen van passende maatregelen om geïdentificeerde risico’s te beperken en het regelmatig testen en evalueren van de effectiviteit van deze maatregelen.

Sancties bij niet-naleving

Het niet naleven van de NIS-voorschriften kan leiden tot aanzienlijke sancties. De bevoegde autoriteiten hebben de bevoegdheid om handhavings- en boetebeschikkingen uit te vaardigen, met boetes tot £17 miljoen voor incidenten die een directe bedreiging voor het leven of een aanzienlijke negatieve impact op de Britse economie tot gevolg hebben.

De hoogte van de boete wordt bepaald door de aard, ernst en duur van de niet-naleving, waarbij factoren als de veroorzaakte schade, de impact op individuen en de bredere samenleving, en eventuele eerdere overtredingen worden meegewogen.

De rol van bevoegde autoriteiten onder de NIS-voorschriften

Onder de NIS-voorschriften is een bevoegde autoriteit verantwoordelijk voor het waarborgen en monitoren van de uitvoering van de NIS-richtlijn binnen een specifieke sector of subsector.

Aanwijzing en verantwoordelijkheden van bevoegde autoriteiten

Elke sector die onder de reikwijdte van de NIS-voorschriften valt, heeft een aangewezen bevoegde autoriteit die verantwoordelijk is voor de implementatie en handhaving van de voorschriften binnen die sector.

De verantwoordelijkheden van bevoegde autoriteiten omvatten het waarborgen dat OES en DSP’s passende en proportionele beveiligingsmaatregelen implementeren, het beoordelen van de effectiviteit van deze maatregelen en het handhaven van naleving waar nodig.

Bevoegdheden van bevoegde autoriteiten onder de NIS-voorschriften

De bevoegde autoriteiten beschikken over diverse bevoegdheden onder de NIS-voorschriften om naleving te waarborgen. Dit omvat het geven van instructies aan OES en DSP’s om tekortkomingen te verhelpen, het opvragen van informatie of uitvoeren van inspecties en het opleggen van sancties bij niet-naleving.

De uitoefening van deze bevoegdheden is onderworpen aan procedurele waarborgen, zodat een evenwichtige benadering wordt gewaarborgd tussen de noodzaak om netwerk- en informatiesystemen te beveiligen en het beschermen van de rechten van de gereguleerde entiteiten.

Interacties tussen bevoegde autoriteiten en gereguleerde entiteiten

De NIS-voorschriften zijn gericht op een samenwerkingsgerichte aanpak van cyberbeveiliging tussen de bevoegde autoriteiten en de gereguleerde entiteiten. De bevoegde autoriteiten bieden richtlijnen en ondersteuning om OES en DSP’s te helpen hun verplichtingen te begrijpen en passende maatregelen te implementeren.

Er is ook een vereiste voor regelmatige dialoog, waarbij een open uitwisseling van informatie over bedreigingen, incidenten en beste practices wordt gestimuleerd.

NIS-voorschriften: nalevingsvereiste

De volgende punten zijn enkele van de belangrijkste nalevingsvereiste van de NIS-voorschriften:

Nalevingsaudits onder de NIS-voorschriften

De NIS-voorschriften geven de bevoegde autoriteiten de bevoegdheid om audits uit te voeren om de naleving te beoordelen. Dit kan bestaan uit evaluaties van de beveiligingspraktijken van een entiteit, risicobeheerprocessen, incidentresponsmogelijkheden en andere aspecten van hun netwerk- en informatiesysteembeveiliging. De bevindingen van deze audits kunnen leiden tot aanbevelingen voor verbeteringen of, bij ernstige tekortkomingen, tot handhavingsmaatregelen.

Naleving voor Operators van Essentiële Diensten

Operators van Essentiële Diensten moeten aan diverse verplichtingen onder de NIS-voorschriften voldoen. Dit omvat het implementeren van passende en proportionele beveiligingsmaatregelen, het naleven van de meldingsplicht bij incidenten, samenwerking met de bevoegde autoriteit en waar nodig het uitvoeren van audits en inspecties. De bevoegde autoriteiten bieden richtlijnen en ondersteuning om OES te helpen hun verplichtingen te begrijpen en na te komen.

Naleving voor Digitale Dienstverleners

Digitale Dienstverleners zijn eveneens onderworpen aan nalevingsvereiste onder de NIS-voorschriften. Hoewel zij meer flexibiliteit hebben in de keuze van beveiligingsmaatregelen, moeten zij een hoog beveiligingsniveau van hun netwerk- en informatiesystemen waarborgen. Dit omvat het naleven van de meldingsplicht bij incidenten en samenwerking met de bevoegde autoriteit. Net als bij OES bieden bevoegde autoriteiten richtlijnen en ondersteuning om DSP’s te helpen bij het bereiken van naleving.

Beste practices voor het waarborgen van naleving

Het waarborgen van naleving van de NIS-voorschriften vereist een grondig begrip van de verplichtingen, het opzetten van effectieve beveiligings- en risicobeheermaatregelen, het bevorderen van een cultuur van cyberbeveiliging binnen de organisatie en het onderhouden van regelmatige dialoog met de bevoegde autoriteit.

Het toepassen van beste practices, zoals afstemming op internationale normen, regelmatig testen en bijwerken van maatregelen en het delen van informatie met andere entiteiten, kan ook aanzienlijk bijdragen aan het bereiken van naleving.

Kiteworks helpt organisaties te voldoen aan de NIS-voorschriften 2018

De NIS-voorschriften 2018 zijn van toepassing op alle sectoren en vereisen dat organisaties passende en proportionele maatregelen nemen om de risico’s te beheersen die hun netwerk- en informatiesystemen in gevaar brengen.

Het Kiteworks Private Content Network (PCN) biedt een veilig platform voor de overdracht en opslag van gevoelige content, zodat organisaties de integriteit en vertrouwelijkheid van hun informatiesystemen kunnen waarborgen in overeenstemming met de NIS-voorschriften.

Kiteworks consolideert communicatiekanalen van derden, waaronder e-mail, bestandsoverdracht, beheerde bestandsoverdracht (MFT), webformulieren en SFTP, en voert deze uit via een hardened virtual appliance die het aanvalsoppervlak van deze anders kwetsbare applicaties verkleint. Kiteworks beschermt de gevoelige content die via deze kanalen wordt gedeeld met diverse beveiligingsfuncties, waaronder veilige inzetopties, granulaire toegangscontrole, geautomatiseerde end-to-end encryptie, multi-factor authentication, inzicht in alle bestandsactiviteiten en uitgebreide audit logs.

Deze en andere functies stellen organisaties in staat om gevoelige content die de organisatie binnenkomt en verlaat te controleren, beschermen en volgen, in overeenstemming met tal van staats-, nationale, regionale en sectorale wetgeving op het gebied van gegevensbescherming, zoals de California Consumer Privacy Act (CCPA), General Data Protection Regulation (GDPR), Health Insurance Portability and Accountability Act (HIPAA), European Union-U.S. Data Privacy Framework, Cyber Essentials Plus, NIS 2-richtlijn en nog veel meer.

Plan vandaag nog een aangepaste demo van het Kiteworks Private Content Network om te ontdekken hoe het NIS-gegevens beschermt.

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks