
Uw bedrijf voorbereiden op de implementatie en naleving van NIS 2
Uw bedrijf voorbereiden op de NIS 2-richtlijn vereist een allesomvattende aanpak van naleving op het gebied van cyberbeveiliging, met focus op belangrijke gebieden zoals risicobeheer en reactie op incidenten. Nu de Europese Unie de regelgeving aanscherpt, moeten bedrijven prioriteit geven aan het afstemmen van hun IT-beveiligingskaders op de bijgewerkte vereiste van de Netwerk- en Informatiebeveiligingsrichtlijn. Dit omvat het begrijpen van de meldingsplicht aan Computer Security Incident Response Teams (CSIRTs) en het naleven van compliance-standaarden die het Bundesamt für Sicherheit in der Informationstechnik (BSI) kan opleggen.
Organisaties moeten zich ook bewust zijn van mogelijke sancties en boetes bij niet-naleving. Door robuuste cyberbeveiligingsstrategieën te implementeren, kunnen bedrijven kritieke infrastructuren effectief beschermen. Door deze stappen te prioriteren, zorgt u ervoor dat uw bedrijf niet alleen compliant is, maar ook weerbaar tegen opkomende cyberdreigingen in het snel veranderende digitale landschap.
NIS 2 Overzicht: Wat Bedrijven Moeten Weten
- De NIS 2-richtlijn, een uitgebreide maatregel voor cyberbeveiliging van de Europese Unie, is bedoeld om de beveiligingsnormen voor kritieke infrastructuren en belangrijke bedrijven te verhogen. Sinds de inwerkingtreding op 16 januari 2023 stelt de NIS 2-richtlijn nieuwe maatstaven voor cyberbeveiliging binnen de EU. Met een deadline van 17 oktober 2024 voor implementatie in nationale wetgeving, staan getroffen organisaties voor een aanzienlijke uitdaging.
- Deze herziening behandelt in detail de vereiste van de NIS 2-richtlijn en biedt bedrijven een duidelijk stappenplan om de noodzakelijke beveiligingsmaatregelen tijdig te implementeren. Bedrijven moeten nu actief aan de slag met de vereiste om mogelijke boetes wegens niet-naleving te voorkomen.
- Lees alles over de getroffen bedrijven, aanbevolen acties en deadlines, evenals de gevolgen van niet-naleving. Onze uitgebreide analyse biedt u de cruciale informatie om uw bedrijf voor te bereiden op de vereiste van de NIS 2-richtlijn en cyberweerbaarheid te versterken in een steeds meer digitale wereld.
Voor bedrijven is het essentieel om strengere beveiligingsrichtlijnen te volgen, omdat een beveiligingsincident ernstige gevolgen kan hebben, tot aan de verlamming van volledige staten toe. De NIS 2-richtlijn is bedoeld om deze beveiligingsregels te standaardiseren en te specificeren om de weerbaarheid en responsiviteit van zowel publieke als private entiteiten binnen de EU te verbeteren. Het overkoepelende doel is het algemene niveau van cyberbeveiliging in de Europese Unie te verhogen. Dit initiatief bouwt voort op de Netwerk- en Informatiebeveiligingsrichtlijn (NIS-1) die in 2016 werd ingevoerd en streeft ernaar de doelstellingen voort te zetten en te verdiepen.
Is een Herziening van de NIS 1-richtlijn Nodig?
De oorspronkelijke EU-richtlijn inzake netwerk- en informatiebeveiliging (NIS) vertoonde in de praktijk aanzienlijke zwaktes:
- Inconsistente regelgeving over de grenzen heen
- Gebrek aan toezicht op de implementatie
- Vage vereiste voor het melden van cyberrisico’s
- Onvoldoende beveiligingsniveau
- Het ontbreken van een gemeenschappelijke strategie voor crisissituaties
De invoering van de NIS 2-richtlijn is bedoeld om deze problemen aan te pakken. De richtlijn definieert precies welke organisaties als kritieke infrastructuren worden beschouwd en tot welke sector ze behoren. Daarnaast breidt NIS 2 de kring van getroffen bedrijven uit, introduceert nieuwe verplichtingen, voorziet in strengere sancties en versterkt de aanpak van risicobeheer cyberbeveiliging.
Belangrijke vernieuwingen zijn onder meer duidelijke richtlijnen over procedures, inhoud en deadlines voor het melden van beveiligingsincidenten, evenals de implementatie, monitoring en handhaving ervan in nationale wetgeving. Bovendien bevordert NIS 2 de samenwerking tussen private en publieke entiteiten bij crises door de vorming van nationale noodhulpteams (CSIRTs, Computer Security Incident Response Team) en het opstellen van gecoördineerde reactieplannen voor incidenten.
De volledige tekst van de NIS 2-richtlijn en de implementaties zijn te vinden in het Publicatieblad van de Europese Unie.
Welke Bedrijven Moeten Voldoen aan de NIS 2-richtlijn?
De NIS 2-richtlijn raakt een breed scala aan bedrijven die essentieel zijn voor het waarborgen van belangrijke maatschappelijke en economische activiteiten. Hier volgt een kort overzicht van wie wordt geraakt door de nieuwe NIS 2-regelgeving:
- Exploitanten van essentiële diensten: Deze groep moet bepalen in hoeverre afzonderlijke faciliteiten onder de regelgeving van de richtlijn vallen. Dit gebeurt op basis van specifieke criteria voor het vaststellen van de relevantie van hun faciliteiten.
- Centrale en belangrijke faciliteiten: Deze worden voornamelijk geïdentificeerd op basis van de omvang van het bedrijf, waarbij zowel middelgrote als grote bedrijven worden geraakt. Middelgrote bedrijven hebben twee kwalificatiepaden: 1. bedrijven met 50 tot 249 medewerkers en een omzet van minder dan 50 miljoen euro of een balanstotaal van minder dan 43 miljoen euro; of 2. bedrijven met minder dan 50 medewerkers, maar een omzet tussen 10 en 50 miljoen euro en een balanstotaal tussen 10 en 43 miljoen euro.
- Grote bedrijven: Organisaties die aan een van de volgende criteria voldoen: 1. minimaal 250 medewerkers of; 2. een omzet van minimaal 50 miljoen euro en een balanstotaal van minimaal 43 miljoen euro.
NIS 2-richtlijn Geldt Ook voor Kleine Bedrijven
Ook als uw bedrijf minder dan 50 medewerkers heeft en minder dan 10 miljoen euro jaaromzet, moet u zich niet te vroeg veilig wanen. Kleine bedrijven kunnen toch worden geraakt als ze onder de criteria voor (met name) kritieke faciliteiten vallen.
Als u niet zeker weet of uw bedrijf onder de kritieke faciliteiten van NIS 2 valt, wacht dan niet op post – elk getroffen bedrijf moet dit uit eigen initiatief vaststellen.
Als uw bedrijf bijvoorbeeld dienstverlener of leverancier is voor een bijzonder kritisch bedrijf, wordt uw bedrijf automatisch ook als kritisch geclassificeerd en moet u eveneens voldoen aan strikte beveiligingsmaatregelen.
Bijzonder Kritieke Faciliteiten (“Sectors of High Criticality” Bijlage I):
- Energie: Elektriciteit, stadsverwarming en -koeling, olie, aardgas, waterstof
- Transport: Luchtvervoer, spoorvervoer, zeevervoer, wegvervoer
- Bankwezen
- Infrastructuren van financiële markten
- Zorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten (Informatie- en communicatietechnologie, Business-to-Business)
- Overheidsadministratie
- Ruimtevaart
Overige Kritieke Faciliteiten (“Other Critical Sectors” Bijlage II):
- Post- en koeriersdiensten
- Afvalbeheer
- Productie, vervaardiging en handel in chemische stoffen
- Productie, verwerking en distributie van voedsel
- Productiesector/Goederenproductie: Productie van medische hulpmiddelen en in-vitrodiagnostiek / Productie van computers, elektronische en optische producten / Productie van elektrische apparatuur / Werktuigbouwkunde / Productie van motorvoertuigen en onderdelen / Overige voertuigbouw
- Aanbieders van digitale diensten
- Onderzoek
NIS 2-Implementatiewet en de Bijbehorende Verplichtingen voor Bedrijven
Sinds september 2023 is het derde concept van de wet voor de implementatie van de EU-richtlijn NIS2 en de bevordering van cyberveiligheid, bekend als de NIS2-Implementatiewet (NIS2UmsuCG), in bespreking. Deze wet verplicht bedrijven om proactief om te gaan met beveiligingsincidenten op het gebied van informatietechnologie. Getroffen organisaties moeten het Bundesamt für Sicherheit in der Informationstechnik (BSI) bij een beveiligingsincident van uitgebreide rapportages voorzien. Beveiligingsincidenten worden gedefinieerd als gebeurtenissen die ofwel de integriteit van opgeslagen, verzonden of verwerkte gegevens in gevaar brengen, of de beschikbaarheid of functionaliteit van bijbehorende diensten die via IT-systemen, componenten en processen worden geleverd of toegankelijk zijn, beïnvloeden.
Dit overzicht benadrukt het belang van naleving van de NIS2-Implementatiewet en de bijbehorende verplichtingen voor bedrijven om hun cyberbeveiligingsinfrastructuur te versterken en effectief te reageren op beveiligingsincidenten.
Het gaat hierbij specifiek om de aantasting van
- Beschikbaarheid
- Authenticiteit
- Integriteit of
- Vertrouwelijkheid van de getroffen gegevens of diensten
IT-beveiliging en NIS 2-naleving waarborgen met meldingsplicht
Bedrijven die relevante systemen beheren, moeten effectieve technische en organisatorische maatregelen (TOM) implementeren om hun IT-beveiliging te waarborgen. De volgende basismaatregelen worden verwacht:
- Risicoanalyse en beveiliging van IT-systemen
- Omgaan met beveiligingsincidenten
- Onderhoud en herstel, evenals back-upbeheer
- Toeleveringsketenbeveiliging, evenals tussen faciliteiten en dienstverleners
- Beveiliging bij ontwikkeling, inkoop en onderhoud en kwetsbaarhedenbeheer
- Evaluatie van de effectiviteit van IT-beveiliging en bijbehorend risicobeheer
- Training op het gebied van IT-beveiliging en cyberhygiëne
- Encryptie en cryptografie
- Personeelsbeveiliging, toegangscontrole en facilitair beheer
- Multi-factor authentication
- Veilige communicatie
- Crisismanagement en veilige noodcommunicatie
Meldingsplicht voor bedrijven
Bij een beveiligingsincident geldt voor het getroffen bedrijf een verscherpte meldingsplicht. Er zijn drie stappen:
- Binnen 24 uur na kennisname van een beveiligingsincident moet een voorlopig rapport worden ingediend bij het BSI.
- Binnen 72 uur moet een volledig rapport met een eerste beoordeling van het incident volgen.
- Binnen een maand moet een eindrapport volgen, waarin het incident en de aard van de dreiging worden beschreven, inclusief grensoverschrijdende effecten.
De Risico’s van Niet-naleving: NIS 2 Sancties & Boetes
Om naleving van strikte regelgeving door getroffen organisaties te waarborgen, gelden bij niet-naleving strengere meldingsplichten en sancties. Samenvatting van de sanctieregels:
- Overtredingen worden bestraft met een getrapt systeem tot 20 miljoen euro
- Sancties worden opgelegd bij zowel nalatigheid als opzettelijke fout
- Voor belangrijke faciliteiten kan een maximale boete van 7 miljoen euro of 1,4 procent van de wereldwijde jaaromzet worden opgelegd
- Voor bijzonder kritieke faciliteiten kunnen boetes oplopen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet, afhankelijk van wat hoger is
- Er wordt geen onderscheid gemaakt tussen bijzonder belangrijke faciliteiten en kritieke infrastructuren
Let op: Bestuurders en hun privévermogen zijn aansprakelijk.
Het wetsvoorstel van het Ministerie van Binnenlandse Zaken stelt dat bestuurders en andere leidinggevende organen van bedrijven met hun privévermogen aansprakelijk zijn voor het naleven van risicobeheermaatregelen. De boete kan oplopen tot 2 procent van de wereldwijde jaaromzet.
Wanneer Wordt de NIS 2-richtlijn van Kracht?
De nieuwe Richtlijn 2022/2555 (NIS 2) is sinds 2023 op EU-niveau van kracht, maar de afzonderlijke lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 in nationale wetgeving omzetten – tegen die tijd moeten bedrijven ook de juiste maatregelen hebben genomen.
Strategieën voor Implementatie van NIS 2-naleving in uw Bedrijf
Effectieve implementatie van NIS 2-naleving in uw bedrijf begint met een grondige beoordeling van de huidige cyberbeveiligingsmaatregelen en het identificeren van beveiligingsgaten ten opzichte van de nieuwe vereiste van de NIS 2-richtlijn. Bedrijven moeten prioriteit geven aan het opstellen van robuuste reactieplannen voor incidenten om mogelijke dreigingen voor kritieke infrastructuren aan te pakken, volgens de richtlijnen van de Europese Unie. Gebruikmaken van inzichten van het Bundesamt für Sicherheit in der Informationstechnik (BSI) en overleg met Computer Security Incident Response Teams (CSIRTs) kan uw IT-beveiligingskader versterken. Het naleven van verplichte meldingsplichten en het bevorderen van een cultuur van proactief risicobeheer zijn essentieel om sancties en boetes te voorkomen. Overweeg geavanceerde oplossingen zoals Kiteworks te integreren om complianceprocessen te stroomlijnen en uw digitale activa te beschermen. Door deze gebieden actief aan te pakken, kan uw bedrijf NIS 2-naleving bereiken en zijn operaties beschermen tegen zich ontwikkelende cyberdreigingen. Hier zijn enkele extra aandachtspunten om ervoor te zorgen dat u klaar bent voor NIS 2:
- Controleer of uw bedrijf onder NIS 2 valt en als kritieke entiteit wordt beschouwd
- Als uw bedrijf wordt geraakt, informeer het management en bepaal wie verantwoordelijk is voor het implementeren van de bijbehorende maatregelen
- Plan en implementeer de noodzakelijke maatregelen om cyberbeveiliging en risicobeheer te waarborgen
- Maak een noodplan voor beveiligingsincidenten, inclusief bedrijfscontinuïteit, back-upbeheer, systeemherstel en crisismanagement
- Stel een meldingsprocedure op en bepaal de verantwoordelijken
Kiteworks Helpt Organisaties te Voldoen aan NIS 2-vereiste
Voldoen aan de NIS 2-richtlijn is cruciaal voor organisaties om cyberbeveiliging te waarborgen en vertrouwen op te bouwen. Een checklist helpt IT-afdelingen bij het naleven van de richtlijn door het toepassingsgebied te bepalen, risico’s te beoordelen, een reactieplan voor incidenten op te stellen, continue monitoring en onderhoud te waarborgen, medewerkers te trainen en documentatie en rapportage bij te houden. NIS 2-naleving is een wettelijke noodzaak en een kans om de weerbaarheid tegen cyberdreigingen te vergroten. Kiteworks ondersteunt bedrijven met een platform dat naleving van NIS 2-richtlijnen vergemakkelijkt door een Zero-Trust aanpak te bieden voor het beschermen en beheren van gevoelige informatie.
Wilt u meer weten over veilige naleving van NIS 2-vereiste met Kiteworks? Plan vandaag nog een gepersonaliseerde demo.