Duik in de details van de NIS2
Nu je de basis van de NIS2 kent is het tijd om je in de details te verdiepen. Want waar moet je precies aan voldoen? Wat is het verschil tussen een ‘belangrijk’ en een ‘essentieel’ bedrijf? En hoe zit het met die meldplicht?
Bekijk alle veelgestelde vragen hieronder en leer meer!
De Europese NIS2-richtlijn wordt omgezet naar Nederlandse wetgeving: de nieuwe Cyberbeveiligingswet.
Deze wet houdt in dat je als organisatie vanaf eind 2024 verplicht bent om jezelf te registreren als NIS2-plichtig. NIS2 verplicht je tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen.
Deze maatregelen moeten aantoonbaar voortkomen uit een door het bestuur goedgekeurde risicoanalyse. Het bestuur, dat jaarlijks getraind moet worden, is bovendien aansprakelijk als de wetgeving niet wordt nageleefd. Ten slotte moeten incidenten nu binnen 24 uur gemeld worden.
Op dit moment worden de Europese NIS2-richtlijnen omgezet naar Nederlandse wetgeving: deze gaat de ‘Cyberbeveiligingswet’ heten.
Op dit moment wordt de Europese NIS2-richtlijn omgezet naar Nederlandse wetgeving: de nieuwe Cyberbeveiligingswet.
De (verwachte) tijdlijn ziet er als volgt uit:
- 21 mei t/m 2 juli 2024
Consultatieperiode Cyberbeveiligingswet: reageren op de wetgeving is mogelijk.
FERM doet dit namens de participanten en publieke partners in de Rotterdamse Haven, deel jouw inbreng met ons! - 17 oktober 2024
NIS2-richtlijn van kracht - *Derde kwartaal 2025
Cyberbeveiligingswet van kracht, naar verwachting
*De Cyberbeveiligingswet (Cbw) zal naar verwachting in het derde kwartaal van 2025 in werking treden, op basis van de informatie op 17 oktober 2024 en de Kamerbrief van 16 oktober 2024. Maar, gezien de tijd die het implementeren in de organisatie kost (luister hiervoor bijvoorbeeld naar de ervaring van Corinne) is oktober een verstandige datum om aan te houden.
Enkele kaders om te controleren of je onder de NIS2 valt: heb je meer dan 50 FTE óf een jaaromzet van meer dan 10 miljoen of een balanstotaal van meer dan 43 miljoen en ben je actief in een van de volgende 18 sectoren? Dan mag je ervan uitgaan dat je eronder valt.
- Energie
elektriciteit
stadsverwarming en -koeling
aardolie
aardgas
waterstof - Transport
lucht
spoor
water
weg - Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten (B2B)
- Overheidsdiensten
- Ruimtevaart
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Chemische stoffen
- Levensmiddelen
- Vervaardiging / Manufacturing
- van medische hulpmiddelen en voor in-vitrodiagnostiek
- informaticaproducten en elektronische en optische producten
- elektrische apparatuur
- machines, apparaten en werktuigen, n.e.g.
- motorvoertuigen, aanhangers en opleggers
- andere transportmiddelen
- Digitale aanbieders
- Onderzoek
Het voldoen aan de NIS2-richtlijn brengt inderdaad inspanningen met zich mee, maar het biedt juist veel meer voordelen voor organisaties.
Allereerst verbetert het de algehele cyberbeveiliging door vereiste maatregelen voor risicobeoordeling, beveiligingsmaatregelen en incidentrespons te implementeren. Dit verhoogt de weerbaarheid tegen cyberdreigingen en helpt organisaties sneller te herstellen van incidenten, waardoor de bedrijfscontinuïteit wordt gewaarborgd. Daarnaast versterkt naleving van de NIS2-richtlijn het vertrouwen van klanten en stakeholders door te laten zien dat de organisatie serieus omgaat met cyberbeveiliging, wat essentieel is voor het beschermen van de reputatie en het aantrekken van nieuwe klanten. Bovendien kan naleving een concurrentievoordeel bieden door de organisatie te onderscheiden van concurrenten en aantrekkelijker te maken voor klanten die waarde hechten aan veiligheid en betrouwbaarheid.
In essentie is naleving van de NIS2-richtlijn niet een last, maar biedt het tastbare voordelen die de investering waard zijn voor organisaties die cyberbeveiliging serieus nemen.
Nee, zeker niet. Terwijl de NIS2 zich richt op weerbaarheid tegen externe cyberdreigingen, mogen organisaties de interne dreigingen niet over het hoofd zien. Interne dreigingen, zoals menselijke fouten, nalatigheid en kwaadwillige insiders, vormen een aanzienlijk risico voor de cyberveiligheid en kunnen ernstige schade veroorzaken aan organisaties, ongeacht hun omvang.
Onder de NIS2-richtlijn zijn organisaties verplicht om niet alleen externe bedreigingen aan te pakken, maar ook interne kwetsbaarheden te identificeren en te beheren. Dit omvat het implementeren van passende toegangscontrolemaatregelen, het bewaken van interne systemen en het trainen van personeel over veiligheidsbewustzijn. Het naleven van de NIS2-richtlijn omvat daarom niet alleen het beschermen tegen externe aanvallen, maar ook het intern beheren van risico’s om een robuuste cyberbeveiligingsstrategie te waarborgen.
NIS2 is de vervanger van de eerste NIS-richtlijn, ook wel bekend als de NIB-richtlijn (ter beveiliging van netwerk- en informatiesystemen). Die NIB-richtlijn is eind 2018 in de Wet beveiliging netwerk- en informatiesystemen (Wbni) geïmplementeerd en in werking getreden. De Wbni zal door de Cyberbeveiligingswet worden vervangen.
Deze Cyberbeveiligingswet moet in Nederland zorgen voor een betrouwbare, voorspelbare, krachtige en veilige netwerk- en informatiesystemen en economie waar zowel bedrijven als burgers optimaal van kunnen profiteren. Waar wetgeving zoals de Cyber Resilience Act is gericht op de basis-cyberveiligheid van onze digitale producten (zoals apparaten en software), is het doel van NIS2 om de digitale veiligheid bij organisaties in Nederland te versterken en op niveau te brengen en houden.
Naast de NIS2 komt er voor een aantal sectoren ook sectorale wetgeving of verordeningen op organisaties af. Denk hierbij aan de Digital Operational Resilience Act (DORA), voor de financiële sector) en de Netwerkcode cyber security voor grensoverschrijdend elektriciteitsstromen (voor de elektriciteitssector).
FERM zet zich in voor digitale veiligheid van bedrijven. Cyberweerbaarheid is én blijft de verantwoordelijkheid van bedrijven zelf, maar FERM kan je ondersteunen om de taken die hierbij horen te vervullen. Wat we ‘voor iedereen’ kunnen, doen we ‘voor iedereen’ en wat in vertrouwelijkheid moet, doen we in vertrouwelijkheid, met bedrijven die in FERM participeren.
Binnenkort organiseren wij informatiebijeenkomsten voor onze participanten. Participanten van FERM hebben ook elkaar om de NIS2 richtlijn te begrijpen en passende maatregelen bij bepaalde risico’s te definiëren. Met vouchers (waardebonnen) koop je cybersecuritydiensten in, als onderdeel van de gedefinieerde set maatregelen.
Aan deelname zit altijd een kosteloze proefperiode van 3 maanden verbonden. Dus wordt nu participant en maak kosteloos gebruik van het lidmaatschap in de voorbereiding op NIS2!
Om te voldoen aan de wetgeving heb je de verplichting tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen. FERM en haar netwerk helpen je hier stap voor stap bij. Samengevat zijn de volgende onderdelen belangrijk:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningen en crisisbeheer;
- de beveiliging van de toeleveringsketen;
- beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- de effectiviteit van maatregelen tegen cyberbeveiligingsrisico’s te kunnen beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding;
- beleid en procedures inzake het gebruik van cryptografie en/of encryptie
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- multifactor-authenticatie– of beveiligde communicatie binnen de entiteit.
Maak onderstaand een afspraak met Thom voor vragen of start direct een proeflidmaatschap bij FERM!
Om te voldoen aan de wetgeving heb je de verplichting tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen. FERM en haar netwerk helpen je hier stap voor stap bij. Samengevat zijn de volgende onderdelen belangrijk:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningen en crisisbeheer;
- de beveiliging van de toeleveringsketen;
- beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- de effectiviteit van maatregelen tegen cyberbeveiligingsrisico’s te kunnen beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding;
- beleid en procedures inzake het gebruik van cryptografie en/of encryptie
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- multifactor-authenticatie– of beveiligde communicatie binnen de entiteit.
Maak onderstaand een afspraak met Thom voor vragen of start direct een proeflidmaatschap bij FERM!
Een meldplicht bij significante incidenten:
- Binnen 24 uur een waarschuwing.
Dit is een vroegtijdige waarschuwing, met een initiële beoordeling om onder meer te bepalen of er sprake is van kwaadwillende opzet en of het incident zich kan verspreiden naar andere sectoren/het buitenland - Binnen 72 uur een melding.
Hier wordt wat meer in detail getreden, met onder andere een eerste beoordeling van het incident, inclusief de gevolgen en de ernst. - Binnen 1 maand een eindverslag.
Een gedetailleerde beschrijving van het incident met onder andere de hoofdoorzaak die waarschijnlijk tot het incident heeft geleid en de getroffen maatregelen om het in de toekomst te beperken.
Er zijn nog geen parameters over wat een significant incident inhoudt. Dat gaat per sector verschillen en wordt nog gedefinieerd.
Daarnaast is het belangrijk om te vermelden dat niet alleen gaat over de schade die u heeft, maar ook over de schade die in de keten plaatsvindt. Dit maakt ook deel uit van het beoordelen of het een significant incident is. Ook hiervoor moeten de parameters nog worden uitgewerkt.
De bedoeling achter deze bepaling in NIS2 is met name om bestuurders bewust(er) te maken van de essentie en het belang dat digitale veiligheid en weerbaarheid ten allen tijde op orde moet zijn en dat zij ook hierop moeten handelen. Volgens deze bepaling in de richtlijn kunnen bestuurders van een organisatie aansprakelijk worden gesteld als zij niet zorg dragen voor de naleving van de zorgplicht. Deze hoeft niet meer in het wetsvoorstel worden geregeld, omdat Nederlandse wetgeving al hierin voorziet.
Wel regelt het implementatiewetsvoorstel de verantwoordelijkheden van het bestuur en van de leden van het bestuur: Het bestuur van een organisatie die onder de implementatiewet valt, moet de beveiligingsmaatregelen goedkeuren en erop toezien dat deze goed door de organisatie worden uitgevoerd (zie ook artikel 20, eerste lid, NIS2).
Daarnaast dienen de leden van het bestuur van de betreffende organisatie te beschikken over kennis en vaardigheden om tot een goed besluit betreffende de beveiligingsmaatregelen te komen. Dit kan bijvoorbeeld worden aangetoond door middel van een certificaat van deelname aan een relevante training.
Registratie is nog niet mogelijk. De wet schrijft straks voor dat organisaties die onder de wet vallen zich moeten registreren.
Bij de registratie zal om de volgende gegevens worden gevraagd de naam van de organisatie;
- de relevante sector en sub sector;
- contactgegevens, zoals e-mailadres en telefoonnummer;
- de lidstaten waar de organisatie diensten verleent;
- de IP-range van de organisatie.
Op dit moment (zomer 2024) wordt er door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online portaal waar organisaties zichzelf moeten registreren als organisatie die onder de wet valt.
Wanneer je de berekeningen maakt van het aantal werknemers/jaaromzet/winst, moeten de cijfers worden gebruikt die zijn opgenomen in de laatste goedgekeurde jaarrekening. Pas-opgerichte ondernemingen die nog geen jaarrekening hebben goedgekeurd, moeten een verklaring afleggen met daarin een in de loop van het boekjaar te goeder trouw gemaakte schatting (in de vorm van een ondernemingsplan). Dit ondernemingsplan moet de hele periode (boekjaren) bestrijken totdat de entiteit omzet zal genereren.
Er wordt voor de toepasselijkheid van de NIS2 een onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ bedrijven, en tussen ‘middelgroot’ (tussen de 50-250 medewerkers en een jaaromzet van 10-50 miljoen) en ‘groot’ (alles daarboven of een jaarlijks balanstotaal van meer dan 43 miljoen). Valt een bedrijf onder de sectoren 1 tot en met 11 en is er sprake van een grote entiteit, dan is het een essentieel bedrijf. De middelgrote entiteiten zijn ‘belangrijk’. Is sector 12 tot en met 18 van toepassing, dan vallen zowel groot als middelgroot onder belangrijk. Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen daarom onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen.
Namens de minister van Economische zaken en Klimaat is RDI de beoogd toezichthouder op de volgende sectoren:
- Energie
- Digitale infrastructuur
- Ruimtevaart
- Vervaardiging/Manufacturing
- Digitale aanbieders
- Post- en koeriersdiensten
- Onderzoek (deel van de sector)
- Beheer van ICT-diensten
Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.
Als het gaat om toezicht wordt er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties. Bij ‘essentiële entiteiten’ heeft de uitval van hun diensten meer ontwrichtende impact op de economie en samenleving, dan uitval bij ‘belangrijke entiteiten’.
Essentiële organisaties vallen daarom onder een intensiever regime van toezicht, waarin zowel voor- als achteraf (proactief én reactief) toezicht wordt gehouden op de naleving van de verplichtingen.
Proactief toezicht houdt in dat de toezichthouder op ieder willekeurig moment een inspectiecontrole kan uitvoeren.
Voor belangrijke entiteiten geldt dat toezicht achteraf (dus reactief) plaatsvindt.
Reactief toezicht houdt in dat de toezichthouder alleen controles uitvoert na beveiligingsincidenten of wanneer bij de toezichthouder een melding binnenkomt. Ook als er een aanwijzing is die doet vermoeden dat de organisatie niet aan de wet voldoet. Artikel 33, lid 1 in NIS2 zegt hierover het volgende: “Wanneer het bewijs, de aanwijzing of informatie wordt geleverd dat een belangrijke entiteit beweerdelijk deze richtlijn, en met name de artikelen 21 en 23, niet nakomt, zorgen de lidstaten ervoor dat de bevoegde autoriteiten zo nodig maatregelen nemen door middel van toezichtmaatregelen achteraf.”
De toezichthouder ziet toe op de organisaties die aan de wet moeten voldoen, níet op de ketenleveranciers van deze organisaties.
De NIS2 behelst niet alleen de voorwaarde dat je je eigen cyberweerbaarheid onder controle hebt, maar bevat ook verplichtingen omtrent rapportage en richting je keten en leveranciers. Bedrijven kunnen verantwoordelijk worden gehouden bij incidenten, waarbij bestuurders aansprakelijke gesteld kunnen worden als geconstateerd wordt dat een organisatie niet voldoet aan de wet.
Er wordt voor de mogelijk opgelegde geldboetes en sancties een verschil gemaakt tussen ‘essentiële’ en ‘belangrijke’ bedrijven. Voor ‘essentiële’ bedrijven geldt voor het niet opvolgen van de zorgplicht of meldplicht een administratieve geldboete ter hoogte van 2% van de wereldwijde jaaromzet of € 10.000.000 in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort (afhankelijk van welk bedrag hoger is).
Indien de door de handhaver gevraagde actie niet binnen de gestelde termijn wordt ondernomen, krijgt de bevoegde autoriteit de bevoegdheid om al dan niet via de rechter een vergunning tijdelijk op te schorten, en een natuurlijk persoon (algemeen directeur of wettelijke vertegenwoordiger) tijdelijk te verbieden deze rol uit te voeren. Voor ‘belangrijke’ bedrijven is de boete minder hoog, namelijk 1,4% van de wereldwijde omzet of maximaal 7 miljoen euro. Daar geldt opschorting van de bevoegdheid en uit functie zetten van een natuurlijk persoon niet.
Een Computer Security Incident Response Team (CSIRT) is een gespecialiseerde crisisteam dat reageert op computer – en informatie-beveiligingsincidenten. Een CSIRT heeft verschillende belangrijke taken, zoals monitoring, analyse, melding, incident response en het onderhouden van regie en coördinatie. Deze taken worden ook in de wet opgenomen. Het Ministerie van Economische Zaken en Klimaat heeft besloten de CSIRT-taken voor de sectoren waar zij verantwoordelijk voor is te beleggen bij het NCSC.
“De Rotterdamse haven is een sterk netwerk. De voorbereiding op de nieuwe Cyberbeveiligingswet hoef je niet alleen te doen. Samen moeten we de cyberweerbaarheid van de haven verhogen.
FERM steunt de havenbedrijven hierbij en geeft toegang tot de juiste middelen. Zo helpen we elkaar om de beveiliging van de keten op orde te hebben!”
– Bas Janssen, managing director Deltalinqs
Maak een online afspraak met Thom
Vragen over de NIS2, Cyberweerbaarheid of wat FERM voor jouw organisatie kan doen?
Bekijk samen met Thom hoe jij ervoor staat en hoe FERM je verder helpt.