Met NIS-2 staat er een krachtige richtlijn in de startblokken als opvolger van de eerste Europese cyberwet. Een belangrijke vernieuwing, want sinds de introductie van NIS(1) in 2016, zijn cyberdreigingen aanmerkelijk toegenomen en is het digitale landschap door de acceptatie van cloud-opslag, mobiele devices en SaaS-diensten ingrijpend veranderd.
De kans dat jouw organisatie ook aan NIS-2 moet voldoen is relatief groot. Waar NIS-2 nu al geldt voor ‘essentiële bedrijven’ (net als eerder gold voor NIS1), wordt de scope van organisaties verbreed naar ‘belangrijke bedrijven’. Organisaties zijn ‘belangrijk’ als ze producten of diensten leveren aan vitale dienstverleners of digitale diensten aan bedrijven of consumenten bieden. Dat betekent dat ook veel middelgrote en grote organisaties in Nederland zich aan de richtlijn moeten gaan houden, verdeeld over uiteenlopende sectoren.
NIS-2 kenmerkt zich door een scala aan minimale beveiligingseisen die aan een organisatie gesteld worden om aan de ‘zorgvuldigheidsnorm’ te voldoen een voorbeeld daarvan is het toepassen van detectie(beveiliging) op je netwerk. Daarnaast is er een verplichting om (ernstige) security-incidenten binnen 24 uur te melden bij de betreffende toezichthouder en om een raamwerk te hanteren voor verdere opvolging en afhandeling.
Uiteindelijk zal NIS-2 in Nederland vooral bekend komen te staan onder een andere naam. In ons land is de Cyberbeveiligingswet (Cbw) de vertaling van NIS-2 naar Nederlandse wetgeving. Waar Europa de autoriteiten van Nederland eerder tot 17 oktober dit jaar de tijd gaf om de wetgeving te vertalen te maken en te implementeren, is inmiddels duidelijk dat deze deadline niet gehaald zal worden. Naar verwachting wordt ergens komende maanden een datum in 2025 bekend gemaakt waarop de Cyberbeveiligingswet actief wordt.
Organisaties die als vitaal worden gezien, worden hierover geïnformeerd door het verantwoordelijke ministerie. Maar dat geldt niet voor de groep ‘belangrijke’ bedrijven. Wanneer ben je belangrijk? In nauwe afstemming met betrokken ministeries en toezichthouders heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst beschikbaar gesteld waarmee organisaties zelf kunnen checken of ze onder NIS-2/Cbw vallen. (Het invullen van deze quickscan kost je 5 tot 10 minuten.)
Dan het vervolg. Als jouw organisatie door de EU als ‘essentieel’ of ‘belangrijk’ wordt gezien, is het zaak om NIS2-compliance te bereiken voordat de wetgeving ergens in 2025 van kracht wordt. Als jouw organisatie nog geen certificering of framework voor cybersecurity hanteert, vormt NIS2-certificering een goed startpunt om een complianceproces in te richten.
Interstellar kan organisaties helpen middels een Gap-analyse te maken om (eventuele) tekortkomingen in cybersecuritymaatregelen te identificeren, ten opzichte van de voorwaarden die NIS-2 voorschrijft. Eenmaal vastgesteld, is Interstellar in staat om via een roadmap passende technische maatregelen te bieden om te voldoen aan de NIS2. Hierbij kun je denken aan een SOC dienst via haar gespecialiseerde partij Pinewood of Soevereine Cloud (waarbij je de controle over je data niet verliest) via Fundaments.
Een IT omgeving is complex en bevat veel informatiesystemen om dit in kaart te brengen en passende maatregelen te nemen kost tijd. Ondanks dat we nog niet exact weten wanneer de NIS2-richtlijn in Nederland onder de noemer van de Cyberbeveiligingswet van kracht wordt, is er vanuit de NIS-2 Richtlijn en vanuit ‘Best Practices’ veel informatie beschikbaar. Wij helpen je daar graag bij.