Frank Walraven
In de razendsnelle digitale wereld van vandaag is cybersecurity niet langer een luxe, maar een absolute noodzaak. De Europese Unie erkent dit en heeft de Richtlijn “Network and Information Security 2” (NIS2) in het leven geroepen waarin organisaties verplicht worden om zich te wapenen tegen cyberdreigingen. Deze richtlijn zal volgend jaar, op 18 oktober 2024 in werking treden. Een aantal onderdelen moet nog door het Nederlands parlement in de wet Beveiliging Netwerk- en Informatiesystemen (Wbni) worden vastgelegd, maar de datum van ingang staat al vast. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een groot aantal nieuwe sectoren. Maar NIS2 richt zich ook op de ketenpartners waarmee deze sectoren informatie uitwisselen.
Het komt erop neer dat de meeste organisaties aan NIS2 moeten voldoen. Indien uw organisatie in een sector actief is die onder de richtlijn valt, dan kunt u een fikse boete oplopen als u niet op tijd klaar bent. Ook kunnen directieleden, de CISO en andere personen met een autoriteit binnen de organisatie persoonlijk aansprakelijk worden gesteld.
NIS2 is niet zomaar een wettelijke verplichting; het is uw sleutel tot veerkracht in een steeds veranderend technologisch landschap. Het vereist dat uw organisatie robuuste cybersecuritymaatregelen implementeert om gevoelige gegevens te beschermen en operationele continuïteit te waarborgen. De NIS2 beschrijft een zorgplicht, een meldplicht en toezicht.
Er zijn tien maatregelen gedefinieerd voor de NIS2 waaronder het uitvoeren van risicoanalyses, het opstellen en naleven van beleid bijvoorbeeld inzake gebruik cryptografie en encryptie, incidentbehandeling maar ook het meten van de effectiviteit van getroffen maatregelen. Als organisatie zult u een solide risicomanagement methodiek moeten hanteren waarin maatregelen getroffen worden en getoetst worden. De directie moet te allen tijde inzicht hebben op de informatiebeveiligingsmaatregelen én daar ook op kunnen sturen.
De NIS2 schrijft voor dat een organisatie in het geval van een incident melding moet maken aan de toezichthouder binnen 24 uur. Daarna moet er binnen een maand een uitgebreid rapport over dit incident worden aangeleverd. Als organisatie zult u bij het registreren van incidenten een systematiek moeten hanteren waarbij een juiste afhandeling wordt gehanteerd, duidelijk is dat u een melding moet maken bij de toezichthouder én waarbij u aantoonbaar maatregelen hebt verscherpt of nieuwe hebt opgeworpen om de kans te verkleinen dat het zich nogmaals voordoet.
De aangewezen nationale autoriteit (Rijksinspectie Digitale Infrastructuur) heeft de taak om de naleving van NIS2 door organisaties te beoordelen. Ze kunnen audits uitvoeren en organisaties evalueren om te controleren of ze voldoen aan de vereisten van de richtlijn. Als organisatie dient u aan te kunnen tonen dat u voldoet aan de richtlijnen vanuit de NIS2 wetgeving. Dit omvat het evalueren van de beveiligingsmaatregelen en het controleren van het vermogen om te reageren op cyberincidenten.
De auteur, Frank Walraven, is een van de oprichters van FullyInControl.
