NIS2: bereid je bedrijf nu al voor op de aankomende verplichtingen

Afbeelding

In het derde kwartaal van 2025 is de verwachting dat de grotere Nederlandse bedrijven de Europese richtlijn voor digitale weerbaarheid (NIS2) moeten gaan implementeren. De originele deadline van 17 oktober 2024, die de EU had gesteld voor de Nederlandse implementatie van deze Cyberbeveiligingswet, werd niet gehaald. Het omzetten van de richtlijnen naar de nationale wetgeving kostte toch meer tijd dan in eerste instantie verwacht. De wet roept nog veel vragen op bij Nederlandse organisaties. En ook al hoeven bedrijven nu nog niet te voldoen aan de richtlijnen, het is wel van belang om nu alvast te beginnen met de voorbereidingen op de aankomende verplichtingen. In dit artikel lees je wat je over NIS2 moet weten en hoe je hier als bedrijf mee kunt beginnen. 

Digitalisering biedt bedrijven tal van voordelen, maar levert ook de nodige risico’s op. Ieder jaar laten onderzoeken weer zien dat de wereldwijde cybercriminaliteit blijft toenemen en dat cybercriminelen miljarden verdienen door overheden en bedrijven aan te vallen en data te gijzelen.” vertelt Thomas Kruse, Productmanager voor Netwerktechnologie en Smarthome bij reichelt elektronik. Geen wonder dat de Nederlandse overheid al langere tijd initiatieven ontplooit om burgers, bedrijven en organisaties bewust te maken van de gevaren van cybercriminaliteit.  

Op Europees vlak leidde dat al in 2016 tot de Netwerk- en Informatiebeveiligingsrichtlijn of NIS1. Bij Europese richtlijnen krijgen de lidstaten de opdracht om de regelgeving in nationale wetgeving op te nemen. NIS1 gaf de lidstaten nog relatief veel vrijheid op gebieden als toepassingsbereik, meldplicht en cybersecurityniveau. Daardoor kwamen er verschillen in de cyberweerbaarheid in de verschillende lidstaten. Tel daarbij de toenemende dreigingen bij op en de roep om herziening was daar. Zo is NIS2 ontstaan. “NIS2 is een stuk strenger dan NIS1 en legt de lat dus flink hoger voor organisaties. Maar dat is niet voor niks, want cybersecurity is erg belangrijk om de steeds digitalere samenleving te beschermen.” aldus Kruse. Het is dus niet niks en zal veel gaan vragen van Nederlandse bedrijven en instellingen. Zo zijn er al Nederlandse gemeentes die een structureel budget hebben aangevraagd voor de implementatie van de komende NIS2-richtlijn. 

Ketenverantwoordelijkheid 
De NIS2-richtlijn richt zich op die sectoren die ook al onder de eerste NIS-richtlijn vielen, zoals de energiebranche en de finance-sector. Daar komen er nu enkele bij, waaronder de foodsector, aanbieders van digitale diensten en dus ook lokale overheidsinstanties. Organisaties die actief zijn in een van deze sectoren vallen nu automatisch onder de NIS2-richtlijn. Dat betekent echter niet dat bedrijven die niet onder een van de sectoren vallen, niets te maken hebben met NIS2. De hele toeleveringsketen wordt erbij betrokken. In de toeleveringsbranche kan een afnemer van zijn leverancier waarborgen vragen op het gebied van cyberbeveiliging. Dit met het oog op ketenverantwoordelijkheid. En daardoor gaat NIS2 aan vrijwel geen enkel Nederlands bedrijf voorbij. In ons land vallen ongeveer 11.000 bedrijven onder de NIS2, maar de wetgeving zal gevolgen hebben voor ruim 50.000 Nederlandse bedrijven. Toch blijkt uit onderzoek van Samen Digitaal Veilig dat de minderheid van de bedrijven op de hoogte is van de nieuwe regels die gaan gelden.  

Verplichtingen vanuit NIS2 
NIS2 zorgt ervoor dat organisaties aan verschillende verplichtingen moeten voldoen als de richtlijnen eenmaal in de Nederlandse wetgeving zijn vastgelegd. Organisaties hebben in de eerste plaats een zorgplicht. Die houdt in dat een bedrijf na een grondige risicoanalyse zijn processen zo nodig op orde brengt zodat het veilig kan werken. Gaat het toch mis, dan moet een organisatie een incident binnen 24 uur melden bij de toezichthouder. Met deze meldplicht is snel ingrijpen mogelijk. De richtlijn en de uitwerking in nationale wetgeving stelt wel bepaalde criteria, wanneer een incident onder de meldplicht valt. Niet elk incident leidt immers direct tot verstoring van dienstverlening. Tot slot voorziet NIS2 in toezicht, alle organisaties die direct onder de richtlijn vallen komen hierdoor onder verplicht toezicht te vallen.  

Verantwoordelijkheid van bestuurder 
Een opvallend onderdeel van NIS2 is dat de richtlijn meer verantwoordelijkheid belegt bij bestuurders van bedrijven en organisaties. Wie na invoering van de richtlijn als bestuurder duidelijk nalatig is in het implementeren van effectieve securitymaatregelen kan persoonlijk aansprakelijk worden gesteld. De richtlijn geeft zo duidelijk aan dat cybersecurity een primair proces is en op het hoogste niveau in een organisatie thuishoort. Om het Nederlandse bedrijfsleven te helpen en te voorkomen dat bedrijven verliezen gaan leiden onder de nieuwe wetgeving is Samen Digitaal Veilig (SDV) opgericht; een samenwerking tussen 63 Nederlandse branche- en koepelorganisaties. SDV helpt toeleveranciers van NIS2-bedrijven met de implementatie van de nieuwe wetgeving op gebied van cybersecurity. Heb je je cybersecurity namelijk niet op orde, dan wordt het zeer risicovol voor de NIS2-bedrijven om nog met je te blijven samenwerken. Hierdoor kunnen toeleveranciers klanten verliezen. Om bedrijven hierbij te ondersteunen heeft SDV een NIS2-supportdesk in het leven geroepen. 

Hoe voorbereiden op NIS2? 
Bij de meeste Nederlandse organisaties staat cybersecurity hoog op de agenda. Vooral na het CrowdStrike incident. “De kunst is om de aandacht die security verdient ook hoog op die agenda te houden. Dat wordt lastig zonder een solde basisbeleid.” laat Kruse weten. Een dergelijk beleid is goed te ontwikkelen aan de hand van het raamwerk van het Amerikaanse National Institute of Standards and Technology (NIST). Dit raamwerk zorgt voor een interne operationele cultuur die cyberrisico’s terugdringt en medewerkers voortdurend bewust maakt van het belang van goed omgaan met data. Het sluit goed aan bij de vereisten vanuit NIS2. Ook heeft de Nederlandse overheid een NIS2-Quickscan beschikbaar gesteld. Met het beantwoorden van 40 ja/nee-vragen kunnen Nederlandse bedrijven zich bewuster worden van de digitale weerbaarheid van hun organisatie. Ook worden er maatregelen voorgesteld die bedrijven kunnen nemen om hun digitale weerbaarheid te verhogen en zich voor te bereiden op NIS2. 

De 6 stappen van het NIST-raamwerk 

1. Identificeren – Dit is de analysefase van NIS2. Deze functie omvat het bepalen van de kritieke functies van een organisatie en welke cybercriminaliteit die functies kunnen verstoren. Het doel van stap 1 is om een organisatorisch inzicht te verwerven in het beheer van cyberrisico's.

2. Beschermen – Deze functie definieert de relevante waarborgen die nodig zijn om kritieke infrastructuurdiensten te leveren. Zodra kritieke functies zijn geïdentificeerd, kan de organisatie deze prioriteren en effectieve maatregelen nemen. 

3. Detecteren – Een organisatie moet over de juiste maatregelen beschikken om cyberrisico's en andere incidenten tijdig te kunnen signaleren. Deze functie omvat voornamelijk continue monitoring en het opsporen van bedreigingen om ongebruikelijke activiteiten of anomalieën tijdig te identificeren.

4. Reageren - Deze functie gaat over het implementeren van relevante maatregelen met betrekking tot een gedetecteerd cybersecurity-incident en helpt het vermogen van een organisatie om de impact ervan op te vangen. Denk bijvoorbeeld aan responsplanning, analyse en mitigatie. 

5. Herstellen - Tenslotte heeft een organisatie een strategisch plan nodig om alle capaciteiten of services te herstellen die zijn beschadigd als gevolg van een cyberbeveiligingsincident. 

6. Beheersen – Deze zesde stap – govern - is in 2024 toegevoegd. Hier gaat het om het vaststellen en uitvoeren van alle interne beslissingen op het gebied van cybersecurity. Met deze stap maken organisaties duidelijk dat cybersecurity eenzelfde belang heeft binnen een organisatie als andere primaire processen.

Timing 
Momenteel hebben alleen België en Kroatië de deadline voor het opnemen van NIS2 in de eigen wetgeving gehaald. De andere lidstaten hebben, net als Nederland, vertraging opgelopen. De Nederlandse regering verwacht hier pas in het derde kwartaal van 2025 klaar voor te zijn. “Dat betekent echter niet dat Nederlandse bedrijven nu stil zouden moeten gaan zitten. Daarvoor is cybersecurity te belangrijk. Daarbij komt dat lokale bedrijven die veel met andere EU-landen te maken hebben, de kans lopen contracten te verliezen als ze niet voldoen aan de NIS2-regels.” Vertelt Thomas Kruse. “Zo zijn er nu al Duitse bedrijven die van hun toeleveranciers uit andere EU-landen vragen om aan de richtlijnen te voldoen. Het beste advies is dan ook: begin nu. Wacht niet af. Want cybersecurity wordt met de dag belangrijker.”