NIS2

Cyberaanvallen worden steeds geavanceerder en schadelijker. De Europese NIS2-richtlijn moet de digitale weerbaarheid van organisaties vergroten en incidenten zoals ransomware, phishing en datalekken voorkomen of beperken. Op die manier draagt de richtlijn bij aan het beschermen van de continuïteit van onze samenleving en economie.

In Nederland wordt NIS2 vertaald naar nationale wetgeving: de Cyberbeveiligingswet (Cbw). Deze is nog niet definitief vastgesteld.

Wat verandert er met NIS2-richtlijn?

De nieuwe richtlijn gaat een stap verder dan de eerdere NIS-richtlijn. Dit zijn de belangrijkste wijzigingen:

• Meer sectoren vallen onder NIS2. Deze essentiële en belangrijke sectoren moeten zich zo snel mogelijk voorbereiden op de verplichtingen van deze nieuwe regelgeving. 
• Het behandelt de complete toeleveringsketen. Organisaties die onder NIS2 vallen moeten risico’s bij leveranciers en partners in kaart brengen en beheersen. Ook als deze partners niet onder de richtlijn vallen. 
• Bestuurders moeten aantoonbare kennis hebben en ook betrokken zijn bij cyberrisicomanagement.

Voor wie geldt NIS2?

De richtlijn is van toepassing op organisaties in belangrijke en essentiële sectoren, waaronder:

• Energie
• Transport
• Bankwezen & financiële infrastructuur
• Gezondheidszorg
• Drink- en afvalwater
• Digitale infrastructuur & ICT-dienstverlening
• Overheidsdiensten
• Ruimtevaart
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Industrie en productie

Waar moet je aan voldoen onder de NIS2?

• Registratieplicht: alle essentiële en belangrijke organisaties moeten zich verplicht registreren in het entiteiten-register van het Nationaal Cyber Security Centrum (NSCS). 
• Zorgplicht: organisaties moeten invulling geven aan tien beheersmaatregelen en zijn verplicht een risicoanalyse uit te voeren. Deze risicoanalyse bepaalt welke maatregelen nodig zijn om de cyberrisico’s voor de organisatie tot een acceptabel niveau terug te brengen.
• Meldplicht: belangrijke en essentiële entiteiten moeten binnen 24 uur melding doen van incidenten die een ernstige operationele verstoring veroorzaken. Dit moet bij zowel het CSIRT (zoals het NCSC of sectorale CSIRTs) als bij de bevoegde toezichthouder. Welke toezichthouder dit is, verschilt per sector. Organisaties kunnen bovendien al tijdens een incident ondersteuning krijgen van de CSIRTs.
• Toezicht: binnen elke sector wordt een toezichthouder aangewezen die actief zal handhaven.

NIS2 & OT-cybersecurity

Veel organisaties werken met operationele technologie (OT), zoals machines, besturingssystemen en infrastructuurcomponenten. NIS2 stelt hier specifieke eisen aan:

• Inventarisatie van alle OT-assets
• Risicobeoordeling van operationele systemen en ketenpartners
• Beheersmaatregelen afgestemd op fysieke én digitale risico’s

De impact van een OT-incident kan fysiek én maatschappelijk groot zijn. Kader helpt organisaties om de juiste maatregelen te treffen, met kennis van zowel IT als OT.