Goede cybersecurity voornemens voor 2023 of bij wet verplichte cybersecurity maatregelen?

NIS2, de nieuwe Cybersecuritywetgeving.

De NIS2 (Network- and Information Systems) Directive is in november 2022 goedgekeurd als nieuwe Europese Cybersecurityrichtlijn en stelt diverse zaken verplicht waar organisatie aan moeten voldoen om cybercriminelen buiten de deur te houden. Nog niet van gehoord? Wellicht goed om even verder te lezen! Want er is in de NIS2 ook sprake van bestuurlijke verantwoordelijk en aansprakelijkheid voor natuurlijke personen.

Wetgeving per medio 2024!

Net als de Europese GDPR voor privacywetgeving wordt de Europese NIS2 ook verplichte wetgeving voor de hierna genoemde organisaties. De GDPR is in Nederland de AVG geworden, de NIS2 heeft ook een Nederlandse naam, de NIB2 (Netwerk- en Informatiebeveiligingsrichtlijn). Deze zal als Nederlandse wetgeving in de tweede helft (september) van 2024 geïmplementeerd moeten zijn (21 maanden na goedkeuring). Overigens geldt dit voor alle 27 Europese lidstaten.

De “2” komt voort uit het feit dat er al een NIS bestond, namelijk al sinds 2016. Uit deze NIS(1) is in 2018 de WBNI, Wet Beveiliging Netwerk- en Informatiesystemen voortgekomen die een wettelijke meldplicht en beveiligingsmaatregelen voorschreef aan digitale dienstverleners (DSP) en de aanbieder van essentiële diensten (AED), zoals elektriciteitsbedrijven en aanbieders van drinkwatervoorzieningen. De DSP en AED worden in de NIS2 overigens niet meer genoemd.

In de afgelopen jaren is gebleken is dat veel organisaties de zogenaamde “basismaatregelen” die ook door het Nationaal Cyber Security Center worden genoemd (https://www.ncsc.nl/onderwerpen/basismaatregelen ) onvoldoende namen. Veel organisaties bleken kwetsbaar voor cyberaanvallen. Veelal werden er veel meer organisaties geraakt dan alleen de organisatie die zelf het doelwit was, waardoor de impact vaak enorm was. De NIS2 moet de cyberweerbaarheid versterken door het beveiligingsniveau te verhogen en het nemen van “basismaatregelen” afdwingen om cyberaanvallen te voorkomen en de impact ervan te verkleinen.

De NIS2 is niet alleen een inhoudelijk update van de NIS, het wordt dus nu ook een lokale Nederlandse wetgeving (NIB2) en ook in alle overige EU-lidstaten. Een grote verandering is daarnaast het bereik. Was het voorheen vooral gericht op de eerdergenoemde DSP’s en AED’s, veelal grote organisaties die essentieel zijn voor de kritische infrastructuur, nu gaat het ook organisaties raken die hiervoor belangrijk zijn en organisatie die aan deze organisatie leveren. Daarnaast doet de omvang er niet meer toe. Het is dus zeer goed mogelijk dat uw organisatie onder de NIS2 kan vallen. Er wordt vanuit gegaan dat in Europa zo’n 160.000 organisaties vallen onder de NIS2 en in Nederland circa 4.500 organisaties.

Daarnaast zal de NIS2 er ook voor zorgen dat binnen sectoren en EU-lidstaten samenwerkingsverbanden ontstaan, zodat er meer en sneller gerapporteerd wordt over incidenten.

Voor wie is het dan van toepassing?

De NIS2 heeft betrekking op organisaties die bedrijfsactiviteiten hebben die vallen onder de ‘essentiële activiteiten’ in de volgende essentiële sleutelsectoren:

• Energie
• Vervoer
• Bankwezen
• Infrastructuur Financiële markt
• Gezondheidszorg
• Drink(afval)watervoorziening
• Digitale infrastructuur
• Beheer van ICT-diensten (B2B)
• Overheid
• Ruimtevaart

Hieronder vallen nu ook organisaties die belangrijke activiteiten aanbieden zoals:

• Aanbieders van platforms voor sociale netwerken
• Aanvullende aanbieders van digitale infrastructuurdiensten (zoals aanbieders van openbare elektronische communicatienetwerken en -diensten)
• Aanbieders van ICT-dienstenbeheer
• Overheidsdiensten
• Post- en koeriersdiensten
• Vervaardiging, productie en dis­tributie van chemische stoffen
• Entiteiten die betrokken zijn bij de productie, verwerking en distributie van levensmiddelen
• Bepaalde fabrikanten (bv. van medische apparatuur, IT of elektronische componenten, machines, motorvoertuigen of andere transportmiddelen
• Farmaceutische bedrijven
• Onderzoeksinstellingen
• Afvalstoffenbeheer

Bent u dienstverlener ten aanzien van deze activiteiten en heeft u meer dan 50 medewerkers en een omzet van meer dan 10 miljoen dan valt u onder de NIS2. Maar de NIS2 geldt voor de gehele keten. Dus als u zakendoet met één van deze organisaties, dan valt u ook onder de NIS2 of zullen eisen aan u gesteld worden en met name dit gegeven zal veel organisaties gaan raken!

Overheidstaken handhaving en boetes

Zoals in de inleiding al is genoemd zullen de EU lidstaten de NIS2 vertalen naar lokale wetgeving en dit dient medio 2024 (en dat is al snel) gerealiseerd te zijn. De lidstaten zullen onderling en met de EU nauwer gaan samenwerken en dienen één of meerdere Computer Security Incident Response Teams dienen op te zetten. In Nederland zijn er al een aantal van deze CSIRTS actief voor bepaalde groepen.

Bij niet naleving van de NIS2 kunnen boetes gelden van maar liefst 2% van de wereldwijde omzet, met een maximum van € 10 miljoen. De werkwijze zal anders zijn dan bij de GDPR-AVG, want daar gaat het proces pas in werking na een datalek. Het zal bij de NIS2 ook mogelijk zijn om gecontroleerd te worden bij een vermoeden van een datalek of er kan ook steekproefsgewijs gecontroleerd worden. Hierbij moet wel opgemerkt worden dat essentiële entiteiten onder volwaardig toezicht staan. Bij belangrijke entiteiten zal het toezicht achteraf plaatsvinden. Bij de NIS2 is er overigens sprake van bestuurlijke verantwoordelijk en aansprakelijkheid! 

Het zal nog moeten blijken wie de handhaving gaat uitvoeren en hoe. Er gaan wat geruchten rond dat dit mogelijk bij het Agentschap Telecom komt te liggen. Deze toezichthouder heeft met ingang van 1-1-2023 een nieuwe naam gekregen, Rijksinspectie Digitale Infrastructuur (afgekort RDI), dus wellicht is er een verband hiermee.

Waar moet ik aan voldoen?

• Afhankelijke van of uw organisatie valt onder de essentiële of belangrijke activiteiten zult u moeten voldoen aan een aantal eisen. Het wordt belangrijk om risicomanagement in te bedden als proces en als gevolg hiervan zullen er risicoanalyses en risicobehandelingen moeten worden uitgevoerd. 
• Het is verplicht security incidenten te registreren als deze impact hebben op de beschikbaarheid, integriteit of vertrouwelijkheid in het geding is en ook op de authenticiteit van gegevens. Deze dienen net als bij een datalek in het kader van de AVG binnen 72 uur gemeld te worden. En zelfs binnen 24 uur als de beschikbaarheid in het geding is geweest en binnen een maand dient een volledig incidenten verslag te worden ingeleverd. Verder zullen er maatregelen genomen moeten worden op het gebied van business continuity, back-up management, disaster recovery en crisismanagement.
• Beveiliging van de leveranciers- & bevoorradingsketen met betrekking tot leveranciers en dienstverleners;
• De algemene beveiligingsmaatregelen en training op het gebied van cybersecurity (zie het lijstje hieronder)

Doet u zaken met één van deze organisaties die essentiële en belangrijke activiteiten leveren, dan zult u ook de algemene beveiligingsmaatregelen zaken op orde moeten hebben. Het is voor de hand liggend dat deze organisaties namelijk ook aan leveranciers eisen stellen om aantoonbaar te maken dat de minimale basismaatregelen genomen zijn waar zij zelf ook aan moeten voldoen. De NIS2 stelt immers beveiligingseisen aan de keten, dus onderstaand lijstje (mede gebaseerd op de basis beveiligingseisen van het NCSC) is een prima basis:

• Nemen van de basisbeveiligingsmaatregelen voor cybersecurity en training.
• Richtlijnen en procedures voor het gebruik van encryptie
• Toegangsbeveiliging, Asset management en HR beveiliging
• Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert en maak een goede inventarisatie.
• Pas multifactor authenticatie toe waar nodig
• Bepaal wie toegang heeft tot uw data en diensten
• Segmenteer netwerken
• Versleutel opslagmedia met gevoelige bedrijfsinformatie
• Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
• Maak regelmatig een back-up van uw systemen en test deze
• Installeer software-updates
• Voorkom virussen en andere malware
• Inventariseer kwetsbaarheden door regelmatig risicoanalyses en kwetsbaarheden scans uit te voeren.

Aantoonbaarheid is belangrijk, ISO 27001 certificering? Of op een andere manier?

Er zijn (nog) geen NIS2 certificeringen. In de praktijk zullen veel essentiële aanbieders en aanbieders van belangrijke activiteiten de NIS2 compliance aantoonbaar willen maken. Gezien de ketenverantwoordelijkheden zullen ze dit ook op hun beurt eisen van hun leveranciers om dit aantoonbaar te maken. Een standaard als ISO 27001 voor informatiebeveiliging zal naar verwachting vaker hiervoor toegepast worden. De meeste zaken die in de NIS2 als maatregelen worden genoemd komen immers ook in deze standaard aan de orde en qua aantoonbaarheid zal deze standaard een eenvoudige weg zijn naar NIS2 aantoonbaarheid. Het zal als leverancier in de keten een stuk makkelijker worden om zaken te blijven te doen met essentiële aanbieders en aanbieders van belangrijke activiteiten.

Snel aan de slag met de invoering en compliance van de NIS2.

Met onze geïntegreerde CyberManager managementsystemen ISMS, PIMS, CSMS en BCMS (voor informatiebeveiliging, privacy, cybersecurity en bedrijfscontinuïteit) bieden wij zowel het MKB, als grote organisaties een oplossing om de genoemde zaken te implementeren en te beheersen op een schaalbare wijze. Of u nu een aanbieder bent van essentiële of belangrijke activiteiten in het kader van de NIS2 of toeleverancier waar iets andere eisen voor gelden, er is altijd een passende abonnement voor de NIS2 en bijvoorbeeld de ISO 27001 standaard. 

In de CyberManager is een NIS2 dashboard beschikbaar gekoppeld aan de in dit artikel genoemde maatregelen waardoor u zich kunt eerst richten op de NIS2 vereisten en hier de compliance van aantoonbaar kunt maken. Dezelfde maatregelen kunt u ook gebruiken, alsmede aanvullende maatregelen voor het implementeren van de ISO 27001. Hierdoor kunt u stapsgewijs de NIS2 implementeren, alsmede de ISO 27001 standaard.  

De CyberManager ISMS software biedt standaard risicomanagement functionaliteit, registratie en behandeling van security incidenten, datalekken, kwetsbaarheden of andere workflows inclusief e-mail notificaties naar de betrokkenen alsmede privacy management via het PIMS. Daarnaast is er een integreerbaar e-learning managementsysteem beschikbaar, zodat Risicobewustzijn trainingen verzorgd kunnen worden en kunt u via het Business Continuity Management Systeem uw Business Continuity Assessments en Planning beheersen. Zoals eerder aangegeven zijn dashboards voor NIS2, alsmede ISO 27001 voorhanden. 

Organisaties die tevens standaarden als NIST CSF, CSIR/BIACS, IEC 62443 of bijvoorbeeld de CIS controls gebruiken voor zowel een ISMS of OT-Security kunnen deze ook beheersen via de CyberManager managementsystemen ISMS of CSMS.

Meer weten, neem hier contact met ons op of via onze partners. Klik hier voor meer informatie over onze CyberManager ISMS, CSMS, PIMS en BCMS oplossingen.

Bronnen:

De NIS2 is hier in diverse talen terug te vinden: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen