Digitale én fysieke weerbaarheid vergroten
NIS2 (Network and Information Security 2) is de herziene versie van de EU-richtlijn op het gebied van cybersecurity. Deze richtlijn legt strengere eisen op aan de beveiliging van kritieke infrastructuren en organisaties die een sleutelrol spelen in de economie en samenleving. NIS2 verplicht organisaties om hun cybersecuritymaatregelen te versterken en sneller incidenten te melden. Met een grotere nadruk op risicomanagement, bescherming tegen cyberdreigingen en respons, richt de richtlijn zich op sectoren zoals energie, transport, financiën, en gezondheidszorg.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit:
https://www.nctv.nl/onderwerpen/cer–en-nis2-richtlijnen/wat-zijn-de-sectoren-en-criteria-die-bepalen-of-een-organisatie-onder-de-nis2-richtlijn-valt
De NIS2 is de opvolger van de eerste NIS-richtlijn (de NIB). Deze richtlijn is in 2016 in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Wellicht ook relevant: De Critical Entities Resilience directive (CER-richtlijn) is bedoeld om publieke en private organisaties te beschermen tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen:
https://ondernemersplein.kvk.nl/cer-richtlijn-beschermt-kritieke-infrastructuur-tegen-fysieke-risicos/
Verplichtingen
De CER- en NIS2-richtlijnen leggen beide strikte verplichtingen op aan organisaties om de beveiliging van kritieke infrastructuren en essentiële diensten te versterken. Een van de belangrijke eisen is de registratieplicht: organisaties die onder deze richtlijnen vallen, moeten zich inschrijven in een entiteitenregister. Dit register, dat wordt beheerd door het Nationaal Cybersecurity Centrum (NCSC), geeft een overzicht van alle geregistreerde entiteiten binnen Europa. Het doel hiervan is om een breed inzicht te verkrijgen in het aantal organisaties dat aan de richtlijnen voldoet en om de coördinatie van cybersecurity-inspanningen te verbeteren.
Daarnaast moeten organisaties voldoen aan de zorgplicht, een belangrijke eis in beide richtlijnen. De zorgplicht houdt in dat organisaties zelf een grondige risicobeoordeling uitvoeren en passende maatregelen nemen om hun systemen en diensten te beschermen. Bij de NIS2-richtlijn ligt de nadruk op digitale risico’s, terwijl de CER-richtlijn zich richt op fysieke bedreigingen, zoals natuurrampen of sabotage. Het management van deze organisaties draagt ook verantwoordelijkheid: bestuurders moeten niet alleen de maatregelen goedkeuren, maar ook het toezicht op de uitvoering ervan waarborgen. Ze zijn zelfs verplicht om opleidingen te volgen die hen in staat stellen deze verantwoordelijkheid effectief uit te voeren.
Incidenten vormen een cruciaal aandachtspunt, en de meldplicht schrijft voor dat organisaties verstoringen in hun dienstverlening die de operationele continuïteit kunnen bedreigen, binnen 24 uur melden bij de bevoegde toezichthouder. Voor cyberincidenten wordt bovendien verwacht dat er melding wordt gemaakt bij het Computer Security Incident Response Team (CSIRT), dat bijstand kan verlenen. Dit meldproces wordt door het NCSC ondersteund met een centraal meldpunt, wat een snelle en uniforme aanpak in de rapportage mogelijk maakt. Factoren zoals het aantal getroffenen, de duur van de verstoring en de financiële impact bepalen mede of een incident als meldingswaardig wordt beschouwd.
Tot slot worden organisaties die onder een of beide richtlijnen vallen onderworpen aan toezicht, waarbij toezichthouders beoordelen of de organisaties voldoen aan hun zorgplicht en meldverplichtingen. Het huidige beleid werkt uit welke sectoren onder welke toezichthouder vallen, waarmee toezicht en handhaving op deze richtlijnen op een gestroomlijnde manier kunnen worden ingericht.
Samenvatting NIS2
Hier is een beknopte samenvatting van de belangrijkste artikelen en paragrafen in de NIS2-richtlijn. Ze zijn gegroepeerd per onderwerp om een duidelijk overzicht te geven van de eisen en verplichtingen.
- Artikelen 1-6: Deze artikelen definiëren het toepassingsgebied van NIS2, inclusief de sectoren en typen organisaties die onder de richtlijn vallen. De richtlijn breidt zich uit tot meer sectoren dan de oorspronkelijke NIS, waaronder gezondheidszorg, financiën, en digitale infrastructuur. Het doel is een geharmoniseerde, robuuste cybersecurityaanpak in de hele EU.
- Artikelen 7-13: NIS2 vereist dat lidstaten nationale cybersecuritystrategieën ontwikkelen en implementeren, die regelmatig worden bijgewerkt. Lidstaten moeten samenwerken in Europese netwerken voor informatie-uitwisseling en ondersteuning bieden aan andere lidstaten bij ernstige incidenten.
- Artikelen 18-19: Deze secties leggen basisverplichtingen op voor cybersecuritymaatregelen. Organisaties moeten voldoende middelen en processen inzetten om beveiligingsrisico’s te beheersen, inclusief bescherming tegen cyberdreigingen en herstel na incidenten.
- Artikel 20: Vereist regelmatige training en bewustwordingscampagnes voor medewerkers, zodat personeel voldoende voorbereid is op cyberdreigingen en incidenten.
- Artikel 21: Vereist dat organisaties risicobeoordelingen uitvoeren en een risicogestuurde aanpak hanteren om beveiligingsmaatregelen te implementeren. Dit artikel benadrukt een gedegen, proactieve benadering van cybersecurity.
- Artikel 22: Verplicht organisaties om incidenten zorgvuldig te documenteren, inclusief hun impact, oorzaak, en de genomen responsmaatregelen.
- Artikel 23: Stelt eisen voor incidentdetectie en -beheersing, inclusief het hebben van een effectief intern meldsysteem.
- Artikel 24: Behandelt de meldingsplicht aan nationale autoriteiten en vereist dat ernstige incidenten binnen 24 uur worden gemeld. Een volledig rapport moet binnen 72 uur worden verstrekt.
- Artikel 25: Richt zich op bedrijfscontinuïteit en herstel, waarbij snelle communicatie en consistente respons cruciaal zijn om operationele onderbrekingen te minimaliseren.
- Artikelen 26-27: Bevat de verplichting voor organisaties om regelmatig audits te laten uitvoeren en om sancties op te leggen bij niet-naleving. Lidstaten moeten effectieve handhavingsmechanismen en sancties instellen om de naleving van de richtlijn te waarborgen.
- Artikelen 28-33: Bepalen dat lidstaten en de EU-instanties informatie over dreigingen en incidenten met elkaar delen en gezamenlijk rapportages uitvoeren om de weerbaarheid in de EU te versterken. Dit bevordert een gecoördineerde reactie op grensoverschrijdende cyberincidenten.
NIS2 vereist dat organisaties in kritieke sectoren voldoen aan strenge beveiligingsnormen, risicomanagement, incidentrapportage en respons. Er zijn strikte meldingsverplichtingen en vergaande maatregelen om bedrijfscontinuïteit te beschermen. Lidstaten spelen een belangrijke rol in nationale en Europese samenwerking om dreigingen te beheersen en sancties op te leggen voor non-compliance.
Cosafe als NIS2-tool
NIS2 legt gedetailleerde eisen vast in specifieke artikelen die betrekking hebben op incidentmanagement, risicobeheer, rapportage en bewustwording. Cosafe kan op elk van deze genoemde onderwerpen een essentiële bijdrage leveren. Cosafe is een hulpmiddel om bij de voorbereiding op incidenten, bij het alameren en beheersen van incidenten en bij het evalueren van de incidentaanpak de communicatie en samenwerking te verbeteren. Met behulp van een zeer gebruiksvriendelijke app voor zowel smartphones als personal computers, kunnen gebruikers elkaar alarmeren, protocollen starten en uitvoeren, informatie delen, het crisisteam bijeen roepen en tal van andere handige taken uitvoeren. Voor een overzicht zie: https://content.cosafe.com/hubfs/DUTCH/Cosafefunctions_DUTCH.pdf
Incidentbeheer en Rapportage (Artikel 23 en 24)
Deze artikelen vereisen dat organisaties een adequaat incidentmanagementsysteem hebben en incidenten rapporteren binnen een bepaalde termijn. Dit omvat niet alleen het melden van incidenten aan nationale autoriteiten maar ook het intern kunnen beheren en communiceren. Cosafe biedt een platform voor snelle interne communicatie en incidentregistratie, zodat organisaties snel kunnen reageren en voldoen aan de meldingsvereisten van artikel 23 en 24.
Risicobeoordeling en -beheer (Artikel 21)
Hierin wordt risicobeheer en -beoordeling besproken. Organisaties moeten regelmatige risicobeoordelingen uitvoeren en preventieve maatregelen implementeren tegen potentiële dreigingen. Door waarschuwingen en meldingen over verdachte activiteit te automatiseren, kan Cosafe bijdragen aan een proactieve aanpak van risicobeheer en -beoordeling, zoals vereist in artikel 21.
Bewustwording en Training (Artikel 20)
NIS2 benadrukt de noodzaak van cybersecuritytraining voor personeel, zodat iedereen in de organisatie voldoende voorbereid is op incidenten. Cosafe kan worden ingezet om trainingsinformatie te delen, herinneringen te sturen en personeel op de hoogte te houden van actuele dreigingen.
Registratie en Documentatie van Incidenten (Artikel 22)
Deze paragraaf vereist nauwkeurige documentatie van incidenten, hun impact, en de responsmaatregelen. Met Cosafe kunnen incidenten en acties gedetailleerd worden geregistreerd, wat een essentieel onderdeel is van de compliance met artikel 22 en waardevol is voor het delen van informatie met autoriteiten.
Interne Communicatie (Artikel 25)
Dit artikel heeft betrekking op de continuïteit van bedrijfsactiviteiten, die afhankelijk is van snelle en consistente communicatie binnen teams. Cosafe ondersteunt het naleven van artikel 25 door organisaties in staat te stellen een efficiënte communicatielijn te behouden tijdens incidenten, waardoor operationele verstoringen worden beperkt.
Cosafe ondersteunt organisaties in NIS2-compliance door middel van oplossingen die specifiek aansluiten bij de eisen van artikelen 20 t/m 25. Dit platform kan helpen bij het voldoen aan de kernvereisten van NIS2, zoals incidentbeheer, risicobeheer en training, en zorgt voor een verhoogde weerbaarheid en meldingscapaciteit. Maar ook voor andere bepalingen uit de richtlijn geldt dat Cosafe kan helpen de communicatie tussen betrokkenen te verbeteren.
En nog een belangrijk voordeel van de inzet van Cosafe, een systeem dat buiten uw eigen ICT-omgeving draait: Het is ook beschikbaar als uw eigen netwerk en hosts worden geteisterd door een ransomware-aanval, een hack of ander incident.
Wilt u meer weten over de mogelijkheden van Cosafe? Neem dan contact met ons op of boek meteen een demo.