NIS2 en ISO/IEC 27001 certificering

Het beheersen van informatiebeveiligingsrisico’s is niet alleen van belang voor IT-dienstverleners. De laatste jaren komen hacks, datalekken en datadiefstal steeds vaker voor bij verschillende soorten organisaties. De Europese Unie heeft de Network and Information Security directive (NIS2-richtlijn) vastgesteld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren.

De cyberdreiging tegen kritieke en vitale infrastructuur in onze samenleving, waaronder de gezondheidszorg, het financiële systeem, de watervoorziening en transportnetwerken, neemt toe met de groei van digitale transformatie, geopolitieke ontwikkelingen en het gebruik van IoT-technologie. Daarom heeft Europa de Network and Information Security Directive (NIS2) gelanceerd.

Wat is de NIS2-richtlijn?

NIS is niet nieuw, er geldt in Europa al sinds 2016 een NIS-richtlijn. De richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De NIS2 is de opvolger van de eerdere NIS-richtlijn, de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De komst van de aangepaste richtlijn moet bijdragen aan een hoger niveau van cybersecurity binnen de Europese unie.

Voor wie heeft de NIS2-richtlijn gevolgen?

De NIS2-richtlijn zal op verschillende manieren de cybersecurity trachten te verbeteren en gaat in Nederland naar verwachting vanaf de tweede helft van 2024 door lokale regelgeving opgelegd gaan worden aan alle bedrijven en organisaties die binnen de aangewezen vitale sectoren vallen (zie hieronder).
EnergieDigitale aanbieders
TransportPost- en koeriersdiensten
Infrastructuur financiële marktAfvalstoffenbeheer
GezondheidszorgLevensmiddelen
DrinkwaterChemische stoffen
Digitale infrastructuurOnderzoek
AfvalwaterVervaardiging/manufacturing
OverheidsdienstenRuimtevaart
Beheerders van ICT DienstenBankwezen

Micro- en kleine organisaties vallen in principe niet onder de NIS2-richtlijn. De verwachting is dat deze organisaties echter wel te maken zullen gaan krijgen met nieuwe of aanvullende eisen op het gebied van cybersecurity.

Wat betekent de NIS2-richtlijn voor uw organisatie?

Wat zijn de meest opvallende aandachtspunten: 

  • Aanscherping van opgelegde beveiligingseisen 
  • Aanpak van beveiliging in de supply chain 
  • Verbetering van rapportageverplichting 
  • Streng(er) toezicht 
  • Handhavingsvereisten met sancties De verplichtingen zijn te verdelen in een zorg- en een meldplicht. 
  • De zorgplicht verplicht een risicobeoordeling. Op basis van de risicobeoordeling moeten passende maatregelen genomen worden.  
  • De meldplicht verplicht dat incidenten die de verlening van de essentiële dienst(en) aanzienlijk (kunnen) verstoren binnen 24 uur gemeld moeten worden bij de toezichthouder. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). 

Als u zich niet aan de NIS2-richtlijn houdt terwijl uw organisatie hier wel onder valt, kunt u een boete krijgen van maximaal 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet. Naar verwachting kan er bovenop de boete ook nog een schorsing worden gegeven.

Hoe kunt u zich goed voorbereiden op deze NIS2?

Door de NIS2-richtlijn wordt het belang van een informatiebeveiligingsmanagementsysteem steeds groter. Een informatiebeveiligingsmanagementsysteem dat gecertifieerd is volgens de ISO/IEC 27001:2022 helpt u om informatiebeveiligingsrisico’s te inventariseren en te analyseren en gerichte maatregelen te implementeren. Ook voorziet het systeem in een mechanisme dat ervoor zorgt dat u voorbereid bent op onverhoopte incidenten. De ISO/IEC 27001:2022 beschrijft hoe informatiebeveiliging in de bedrijfsvoering ingebed moet worden maar ook steeds beter en effectiever zal worden. 

Wilt u weten waar uw organisatie staat op het gebied van informatiebeveiliging? Start met een GAP-Analyse. Dan weet u waar uw organisatie op dit moment staat en welke stappen er nog genomen moeten worden om aan de criteria te gaan voldoen.

Wilt u meer informatie?