NIS2 (Netwerk- en Informatiesystemen Richtlijn 2) is een Europese richtlijn voor een hoger beveiligingsniveau van netwerk- en informatiesystemen, in de hele EU. NIS2 is de tweede versie van deze richtlijn en is van toepassing op een breder scala organisaties.
Op 14 december 2022 is deze NIS2-richtlijn door het Europees Parlement en de Raad van de EU aangenomen. Elk EU-land dient de richtlijn binnen 21 maanden naar wetgeving te vertalen. Vóór het eind van 2024 moeten wij hier dus aan geloven.
De volgende organisaties zijn dan verplicht om passende IT-beveiligingsmaatregelen te implementeren:
- Aanbieders van essentiële diensten zoals energie, transport, water, gezondheidszorg en financiële diensten;
- Digitale dienstverleners zoals online marktplaatsen, cloud computing-diensten en zoekmachines. Managed Service Providers als Valid vallen onder deze categorie.
De NIS2-richtlijn vereist dat deze organisaties passende technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen. De specifieke, vereiste beveiligingsmaatregelen zijn afhankelijk van de aard van de diensten die de organisatie aanbiedt en de risico's die gepaard gaan met de verwerking van gegevens.
Belangrijke NIS2-maatregelen op een rij
- Verplichte melding van significante incidenten; naar de keten, naar het landelijke meldpunt. Dit in lijn met de AVG-verplichting: 24-uur waarschuwing, 72-uur melding. Uiterlijk na 1 maand opgevolgd met een volledig en gedetailleerd verslag.
- Incident response plan: procedures voor het detecteren, rapporteren, beoordelen en afhandelen van beveiligingsincidenten.
- Risicobeoordeling en beheer hiervan: regelmatig een risicobeoordeling uitvoeren en mitigerende maatregelen treffen.
- Bedrijfscontinuïteit en crisisbeheer zijn vormgegeven; zoals BCP, back-ups en noodherstel.
- Bewaking en beveiliging van netwerk- en informatiesystemen: beveiligingsmaatregelen implementeren om ongeoorloofde toegang, aanvallen en storingen te voorkomen.
- Authenticatie en toegangsbeheer: procedures voor het beheer van gebruikersaccounts en toegangsbeheer om te voorkomen dat onbevoegden toegang krijgen tot systemen, gebruik van technieken zoals MFA.
- Encryptie en beveiliging van gegevens: maatregelen implementeren om de vertrouwelijkheid en integriteit van gegevens te waarborgen, zoals encryptie en beveiliging van opslagmedia.
- Beveiligingsafspraken met toeleveranciers en het monitoren hierop.
- Richtlijnen zijn aanwezig m.b.t. cyberhygiëne en opleiding wordt verzorgd, denk hierbij aan 'security awareness'
Let op: deze lijst is niet uitputtend en er kunnen aanvullende maatregelen worden vereist, afhankelijk van de aard en omvang van de organisatie (en de diensten die zij aanbieden).
Valid Managed Services is al lang in het bezit van het ISO27001 certificaat. Hierdoor verwachten we voor onze organisatie geen hele grote impact van NIS2. Een bijzondere aanvullende eis is wel dat er beveiligingsafspraken bestaan met toeleveranciers en dat de organisatie hierop monitort.
Dit punt zal veel administratief en juridisch rompslomp met zich meebrengen. We kunnen een parallel trekken met de invoering van de AVG en de totstandkoming van verwerkersovereenkomsten. Hopelijk zal de overheid lessen trekken uit de AVG en zullen brancheorganisaties de weg voorbereiden.
Wil je meer weten over NIS2? Laat een bericht achter, en onze experts helpen je graag.