Alles over de Cyberbeveiligingswet (NIS2-richtlijn)

Ondanks de Cyberbeveiligingswet zou elke organisatie zich bewust moeten zijn van het belang van cybersecuritymaatregelen. Je aan de wet houden omdat het anders boetes oplevert, is niet de reden waarom je jezelf en jouw organisatie zou moeten beschermen. In een tijd waarin cyberaanvallen steeds geavanceerder en frequenter worden, kunnen de gevolgen namelijk ernstig zijn voor je systemen, je gegevens en je reputatie. Een succesvolle cyberaanval kan de bedrijfscontinuïteit verstoren en de reputatie van jouw organisatie schaden. Cybersecurity is niet langer een optionele investering, maar een essentieel onderdeel van het moderne bedrijfsleven. Door de juiste maatregelen te implementeren, verklein je niet alleen de kans op een aanval, maar minimaliseer je ook de impact ervan als het toch gebeurt.

NIS2 en de Cyberbeveiligingswet maken onderscheid tussen belangrijke en essentiële organisaties om specifieke regelgeving toe te passen. Dit is geen willekeurige keuze. Het heeft alles te maken met het feit dat cyberaanvallen op deze organisaties enorme gevolgen kunnen hebben. Niet alleen voor die organisaties zelf, maar ook voor de cruciale diensten en infrastructuur die onze samenleving draaiende houden. Er is zorgvuldig gekeken naar de rol die deze organisaties spelen in ons dagelijks leven. 

Deze organisaties zijn van vitaal belang voor het functioneren van onze maatschappij. Denk aan energievoorziening, communicatie, en spoorwegen. Als deze diensten uitvallen, heeft dat grote gevolgen voor ons dagelijks leven. Door essentiële organisaties te beschermen tegen cyberaanvallen, wordt de continuïteit van deze cruciale diensten gewaarborgd.

De volgende organisaties vallen onder essentiële organisaties.  

• Aanbieders van telecomdiensten en energievoorziening: Essentieel voor de continuïteit van onze communicatie en energievoorziening.

• Beheerders van spoorweginfrastructuur: Essentieel om treinen veilig en efficiënt te kunnen laten rijden.

• Afval- en waterbeheerbedrijven: Essentieel voor de volksgezondheid en het milieu.

• Financiële dienstverleners: Essentieel voor de financiële wereld, zoals banken, verzekeraars en andere financiële instellingen.

• Post- en koeriersdiensten: Essentieel voor de bezorging van belangrijke documenten en pakketten.

• Onderdelen van de centrale overheid (Rijksoverheid en zelfstandige bestuursorganen): Essentieel in het functioneren van ons land. 

Hoewel de organisaties in deze categorie niet altijd als essentieel worden beschouwd, spelen ze nog steeds een belangrijke rol. Lokale overheden, financiële instellingen en andere dienstverleners zijn voorbeelden hiervan. De weerbaarheid van onze digitale infrastructuur wordt vergroot door ook belangrijke organisaties te betrekken bij de NIS2-richtlijn.  

De volgende organisaties vallen onder belangrijke organisaties.  

• Lokale overheden (gemeenten, waterschappen en provincies): Hoewel ze niet altijd als essentieel worden beschouwd, zijn ze belangrijk voor het dagelijks leven van burgers.

• Overheidsinstanties met activiteiten op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving: Hoewel ze zijn uitgesloten van de NIS2-richtlijn, zijn ze nog steeds van groot belang voor onze samenleving. 

Als jouw organisatie onder de NIS2-richtlijn valt en dus onder de Cyberbeveiligingswet, zijn er kortgezegd vier verplichtingen waar je rekening mee moet houden:

• Zorgplicht Je moet een risicoanalyse uitvoeren en maatregelen nemen om je diensten zo goed mogelijk te laten doorgaan en de gebruikte informatie te beschermen.

• Meldplicht Je bent verplicht om incidenten te melden.

• Registratieplicht – Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2 entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op.

• Toezicht - Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezichtsmaatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.

NIS2 draait niet alleen om het voorkomen van incidenten, maar ook om het adequaat reageren als er toch iets gebeurt. Dat brengt ons bij de zorg- en meldplicht. Zorgplicht bij NIS2 betekent dat je als bedrijf verplicht bent om passende maatregelen te nemen om cyberbeveiligingsincidenten te voorkomen en te beperken. Dit omvat het identificeren van risico’s, het implementeren van beveiligingsmaatregelen en het rapporteren van incidenten aan de relevante autoriteiten. Als je een inbreuk op je beveiliging ontdekt die de werking van jouw diensten kan beïnvloeden, dan is het tijd om in actie te komen. Melden is niet alleen een verplichting, maar het helpt ook om de schade te beperken. 

Voorbeeld: Stel je voor dat een digitale dienstverlener merkt dat er ongeautoriseerde toegang is geweest tot gevoelige klantgegevens. In dit geval is het niet alleen een kwestie van intern oplossen, maar ook van het melden.   

Je bent verplicht je cyberincidenten binnen 24 uur (bij dienstverstoring) of binnen 72 uur (in andere gevallen) te rapporteren aan de juiste instanties (toezichthouders) en de getroffen klanten.   

Overzicht van toezichthouders 

• Rijksinspectie Digitale Infrastructuur (RDI): De RDI houdt toezicht op de naleving van de NIS2-richtlijn voor de energiesector, digitale infrastructuur en digitale dienstverleners. 

• Inspectie Leefomgeving en Transport (ILT): ILT houdt toezicht op sectoren zoals transport en milieu. 

• Inspectie Gezondheidszorg en Jeugd (IGJ): IGJ houdt toezicht op de gezondheidszorgsector. 

Een cyberincident moet daarnaast ook bij het Computer Security Incident Response Team (CSIRT) worden gemeld, dat hulp en bijstand kan verlenen. 

Jouw organisatie moet er ook op toezien dat je medewerkers zich digitaal veilig gedragen. Een voorwaarde daarvoor is dat zij zich bewust zijn van de risico’s en weten hoe ze die zoveel mogelijk kunnen beperken. Regelmatige trainingen op het gebied van security awareness zijn daarmee naast het implementeren van passende beveiligingsmaatregelen verplicht. 

Laten we eens kijken naar de stappen die je kunt nemen om NIS2-compliant te worden: 

1.     Doe een risicoanalyse en ontdek waar eventuele tekortkomingen liggen met betrekking tot de richtlijn: Onderzoek waar jouw organisatie mogelijk niet aan de NIS2-verplichtingen voldoet. Denk bijvoorbeeld aan technische beveiligingsmaatregelen, beleidsprocedures en securitybewustzijn van medewerkers. Met een risicobeoordeling van Hallo weet je snel hoe jouw organisatie ervoor staat!

2.     Stel vast welke maatregelen nodig zijn om aan de verplichtingen te voldoen: Met de resultaten uit de risicoanalyse kunnen we samen met jou een plan opstellen om te voldoen aan de specifieke eisen van NIS2. 

3.     Ontwerp een strakke cybersecurity omgeving: Hierin moeten zowel organisatorische als technische maatregelen in terugkomen. Dat kan betekenen dat je geavanceerde firewalls installeert, gevoelige gegevens versleutelt, toegangscontrolesystemen invoert en regelmatig beveiligingsaudits uitvoert. 

4.     Voer de maatregelen uit: Nadat het plan klaar is, is het heel belangrijk om de voorgestelde acties echt uit te voeren in de organisatie. Dat kan betekenen dat verschillende afdelingen moeten samenwerken, er geïnvesteerd moet worden in nieuwe technologieën en medewerkers intensief moeten worden getraind. 

Dan zijn er nog enkele specifieke acties die jij kunt ondernemen:  

• Analyseer regelmatig de risico’s op het gebied van cyberbeveiliging: Voer regelmatig grondige analyses uit om mogelijke risico’s te identificeren. 

• Maak een goed plan voor hoe je omgaat met cyberincidenten. Zorg ervoor dat je organisatie voorbereid is op mogelijke cyberproblemen door middel van een Incident Respons Plan. 

• Controleer je contracten: Zorg ervoor dat alle partners in jouw toeleveringsketen voldoen aan de vereiste beveiligingsstandaarden. 

• Maak iemand binnen je organisatie verantwoordelijk voor security: Dit is vaak een Chief Information Security Officer (CISO). Dit kan zowel intern als extern zijn.

Het is verstandig om tijdig te beginnen met de voorbereidingen om aan de NIS2-richtlijn te voldoen en zo jouw organisatie beter te beschermen tegen cyberaanvallen. Vanuit Hallo hebben wij alvast een begin gemaakt en handreikingen opgesteld, zodat je snel aan de slag kan en maatregelen kan implementeren in de verschillende domeinen binnen je organisatie: Organisatie, Mens, Fysiek en Techniek. Schakel hiervoor gerust onze hulp in. We staan voor je klaar!

NIS2 legt best wel wat verplichtingen op aan organisaties. Hoe streng jouw organisatie gecontroleerd wordt hangt af van de classificatie essentieel of belangrijk. Voor essentiële organisaties, zoals die in de financiële sector, betekent dit grondige audits, verplichte rapportage aan de autoriteiten en actieve monitoring. Belangrijke organisaties, waaronder middelgrote bedrijven, worden regelmatig beoordeeld en krijgen gerichte controles op specifieke aspecten van cybersecurity. Kortom, de controle-intensiteit hangt af van de rol en impact van de organisatie in de samenleving en de sector. En ja, als je deze regels niet volgt, kun je flinke boetes verwachten, afhankelijk van de categorie waarin je valt. Sterker nog, bestuurders kunnen persoonlijk aansprakelijk worden gesteld!

Met de komst van NIS2 is de vrijblijvendheid sowieso volledig verdwenen. NIS2 voegt namelijk iets opvallends toe: bestuurders zijn nu persoonlijk verantwoordelijk en aansprakelijk voor NIS2-compliance. In dit scenario kan de bestuurder persoonlijk aansprakelijk worden gesteld voor het falen van NIS2-compliance. Dit kan leiden tot financiële boetes, juridische geschillen en aanzienlijke reputatieschade voor zowel de bestuurder als de organisatie. Bovendien kunnen klanten en stakeholders hun vertrouwen in jouw organisatie verliezen, wat je bedrijfsvoering ernstig kan beïnvloeden. Dit benadrukt dus het belang van actieve betrokkenheid en naleving van cybersecuritymaatregelen door bestuurders. 

In plaats van NIS2 te zien als een last, kun je het ook oppakken als een kans om de digitale weerbaarheid van je organisatie te verbeteren. Door proactief en effectief te handelen, kun je niet alleen voldoen aan de richtlijnen, maar ook een sterker, veerkrachtiger bedrijf opbouwen. Dit is belangrijk, want een incident kan slecht zijn voor de reputatie van je bedrijf en het kost doorgaans meer tijd om het vertrouwen terug te winnen dan het implementeren van een goed securitybeleid. 

Bel ons voor een vrijblijvend oriënterend gesprek. Je kunt ons bereiken via 088 25 50 100. Word je liever gebeld? Dat kan ook. Vul hier het formulier in om een afspraak te maken. Dan bellen wij jou wanneer het jou uitkomt.