NIS2 beschermt kritieke infrastructuur
Diverse ontwikkelingen hebben de veiligheid van onze maatschappij en economie in toenemende mate onder druk gezet in de afgelopen jaren. Mede daardoor heeft de Europese Unie sinds 2020 gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.
Meer dan 10.000 organisaties in Nederland gaan te maken krijgen met de NIS2-richtlijn. Velen van hen hebben dit nog niet door. Daarom vertellen we wat nu belangrijk is om te weten, of je eronder valt en hoe je je kunt voorbereiden.
Disclaimer: TÜV NORD is een onafhankelijke organisatie. Wij delen deze informatie omdat we de veiligheid in Nederland willen verhogen.
“Cyberaanvallen en beveiligingsincidenten zijn niet alleen jouw risico. Je wilt je klanten en leveranciers niet in de problemen brengen. Daarom is cyber weerbaarheid van groot belang.”
- Vincent Schijven
Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie?
Het is op dit moment nog niet bekend per wanneer de richtlijn ingaat. De meest actuele informatie lees je op deze pagina van het Ministerie van Justitie en veiligheid.
Voor wie geldt de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op veel meer organisaties dan de eerste NIS-richtlijn. Wij schatten in dat het gaat om zo’n 10.000 bedrijven. Een belangrijk verschil is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in de sectoren van bijlage 1 of 2 en gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
De overheid heeft hiertoe de volgende criteria bepaald:
Essentiële entiteiten
- Dat zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel);
- Een organisatie is groot op basis van de volgende criteria:
- Minimaal 250 werknemers of;
- Een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Belangrijke entiteiten
- Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II;
- Een organisatie is middelgroot op basis van de volgende criteria:
- Minimaal 50 werknemers of;
- Een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Sectoren bijlage 1: Energie, Transport, Bankwezen, Infrastructuur financiële markt, Gezondheidszorg, Drinkwater, Digitale infrastructuur, Beheerders van ICT-diensten, Afvalwater, Overheidsdiensten en Ruimtevaart.
Sectoren bijlage 2: Digitale aanbieders, Post- en koeriersdiensten, Afvalstoffenbeheer, Levensmiddelen, chemische stoffen, Onderzoek, Vervaardiging/ manufacturing
Daarnaast zijn er ook nog micro- en kleine bedrijven die automatisch onder de NIS2-richtlijn vallen. Wil je weten of de NIS 2-richtlijn van toepassing is op jouw organisatie? De overheid heeft een zelfevaluatie waarmee je dit kunt testen.
"Ben jij leverancier van een van de organisaties uit bovenstaande omschrijving? Dan krijg jij ook te maken met deze wetgeving."
De verplichtingen van de NIS2-richtlijn
De NIS2-richtlijn schrijft meerdere verplichtingen voor. “Deze zijn onder te verdelen in een zorgplicht, een meldplicht en er vindt een vorm van toezicht plaats. In Nederland heb je meerdere toezichthouders die daar een rol in gaan vervullen. Een van hen, zoals het er nu uit ziet, is de RDI, de Rijksinspectie Digitale Infrastructuur, het voormalige Agentschap Telecom”, vertelt Vincent Schijven, Manager van het Cyber Competence Center.
Waarom is snelle actie belangrijk?
Impact
“Het is belangrijk om je organisatie weerbaar te maken. Niet alleen voor jezelf, maar ook voor je leveranciers en klanten. Je bent immers onderdeel van een keten. Wanneer jij niet veilig bent, zijn je samenwerkingspartners dat ook niet”, legt Vincent uit.
Boetes
Het niet naleven van de richtlijn kan bovendien leiden tot boetes en andere fikse sancties. Denk bijvoorbeeld aan bestuurlijke aansprakelijkheid (persoonlijke en potentiële strafrechtelijke aansprakelijkheid voor personen op directieniveau). Vincent Schijven: “Als een bestuurder aantoonbaar niet zijn verantwoordelijkheid genomen heeft, kan deze persoon geschorst worden. Er zit een actieve verantwoordelijkheid aan. Je kunt als bestuurder niet zeggen dat je er niets van wist, je hebt een ophaalplicht in je organisatie om dingen te regelen.”
Hoog risico
De overheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Daar wil Vincent nog wat aan toevoegen: “De verplichtingen van bijvoorbeeld de AVG-wetgeving waren lastig in te voeren; wij verwachten dat dit nog lastiger wordt. Het risico is groter en de sancties zijn strenger. Het is dus zaak om tijdig te beginnen met de voorbereiding op deze verplichtingen.”
De NIS2-richtlijn heeft ook gevolgen voor toeleveranciers
Bedrijven voor wie de NIS-2 richtlijn van toepassing is, worden ook verantwoordelijk voor hun toeleverketen. Daarmee is de weerbaarheid tegen digitale verstoringen als cyberaanvallen, beveiligingsincidenten en datalekken de verantwoordelijkheid van iedere organisatie. “De gevolgen van digitale verstoringen merk je in de hele keten. Je wilt klanten en opdrachtgevers niet in de problemen brengen”, benadrukt Vincent Schijven.
Eyeopener: het managen van je leveranciers(keten) wordt belangrijk
Het implementeren van de NIS2-richtlijn zorgt voor een betere bescherming van jouw organisatie en diensten bij klanten en partners. Het verbetert je digitale veiligheidspositie en daarmee ook de reputatie van je organisatie (omdat cybersecurity aantoonbaar serieus wordt genomen). Een van de aandachtspunten is het managen van je leveranciers: Hebben zij hun informatiebeveiliging voldoende georganiseerd?
Je organisatie moet volgens de NIS2-richtlijn kijken naar beveiligingsgerelateerde aspecten van leveranciers en dienstverleners. Een ander aspect is de kwaliteit van de producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelprocedures. TÜV NORD is in Nederland één van de leidende certificeringsorganisaties op dit vlak.
"Steeds meer organisaties maken gebruik van een supplier risk management programma om inzicht te krijgen in de weerbaarheidsniveaus van hun leveranciers. "
Hoe bereid ik me voor?
Wanneer je als (mkb)bedrijf je keten wilt managen (Supplier Risk Management), is CYRA daarvoor een heel geschikt mechanisme. CYRA is een onafhankelijk framework voor informatiebeveiliging en privacy-maatregelen. Simpel gezegd: Met dit framework kun je via een self-assessment bekijken waar je staat op het gebied van cybersecurity. Een benchmark geeft inzicht in de eigen situatie ten opzichte van branchegenoten. Daarnaast geeft CYRA inzicht in hoe je organisatie kan groeien op het gebied van digitale volwassenheid.
CYRA staat voor Cyber Rating. Het is ontwikkeld door onafhankelijke partijen (waaronder TÜV NORD Nederland) met als aanleiding het kunnen bieden van structuur en inzicht in de weerbaarheid van ketens. Cyberweerbaarheid verhogen, kan daarom (ook) met de stappen van CYRA. Het is een stapsgewijze manier om op NIS-2 voor te sorteren. Voorlopig gaat dit nog vooral over IT en privacy, maar in de toekomst wordt dit uitgebreid met OT (operationele technologie, ofwel industriële automatisering).
CYRA biedt de ondernemer:
- Inzicht en handelingsperspectief
- Kunnen werken aan cyberweerbaarheid en
- Het zetten van een benchmark ten opzichte van de eigen sector.
Voor de keten betekent CYRA:
- Ondersteuning voor de continuïteit (vanuit cyberweerbaarheid) en
- Voorbereiden op wet- en regelgeving.
Wij bieden diensten aan op de volgende gebieden:
Waarom TÜV NORD voor jou een sterke partner is
Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.
Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.
Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.
Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.
Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.
Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.