Overzicht NIS2: Geschiedenis, belangrijkste inhoud en betekenis voor topmanagement

NIS2 (Network and Information Systems Directive 2) is het nieuwe regelgevingskader van de EU voor informatiebeveiliging in belangrijke sectoren.

Het legt een nieuwe lat voor informatiebeveiligingsnormen, breidt het toepassingsgebied uit ten opzichte van de oorspronkelijke NIS, introduceert strenge toezichthoudende activiteiten voor naleving en ook mogelijke sancties voor overtredingen. Het doel is om de Europese informatie-infrastructuur beter te beveiligen.

Het is vooral belangrijk op te merken dat NIS2 niet alleen de normen voor cyberbeveiliging van organisaties vaststelt, maar ook het topmanagement verantwoordelijk houdt voor het bereiken van deze normen. Nalatigheid of onvoldoende betrokkenheid bij deze regelgeving kan aanzienlijke juridische gevolgen hebben. Als u geen blijk geeft van gepaste zorgvuldigheid bij het implementeren van robuuste cyberbeveiligingsmaatregelen die voldoen aan de NIS2-standaarden, kan het topmanagement persoonlijk verantwoordelijk worden gehouden voor eventuele resulterende beveiligingsproblemen.

Het topmanagement van organisaties zou een strategische kans moeten zien om hun cyberdefensie en waakzaamheid op een hoger plan te brengen - niet alleen risico's en to-do's. In deze bijdrage wordt NIS2 in het algemeen besproken en waarom het omarmen ervan als een verplichting voor het topmanagement de weg kan zijn naar duurzaamheid en succes van uw bedrijf in het digitale tijdperk.

NIS2-achtergrond

De NIS2-richtlijn, die de oorspronkelijke NIS-richtlijn opvolgt, maakt deel uit van de ambitieuze plannen van de Europese Unie om te zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten. De NIS werd oorspronkelijk voorgesteld in 2013 en had als doel een uniforme aanpak van cyberbeveiliging. Maar toen cyberbedreigingen complexer en wijdverspreider werden, werd de behoefte aan een robuuster kader duidelijk, wat leidde tot de introductie van NIS2. Deze bijgewerkte richtlijn is gericht op een breder scala aan sectoren en legt zwaardere verantwoordelijkheden bij het topmanagement om te zorgen voor de implementatie van strengere cyberbeveiligingsnormen, wat het belang van cyberbeveiliging in het moderne digitale tijdperk weerspiegelt.

Ondanks het goedbedoelde begin had de oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging te kampen met verschillende tekortkomingen die de doeltreffendheid van een uniforme aanpak van cyberbeveiliging in de hele EU belemmerden. Deze tekortkomingen waren onder andere:

• Onvoldoende reikwijdte: De oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging was alleen van toepassing op een beperkt aantal sectoren, waardoor grote delen van de digitale economie kwetsbaar bleven voor cyberdreigingen.
• Inactieve handhaving: De handhaving van de richtlijn was grotendeels inconsistent, wat resulteerde in al even inconsistente cyberbeveiligingsnormen in verschillende staten.
• Onvoldoende focus op topmanagement: Er was onvoldoende nadruk op de verantwoordelijkheden van het topmanagement bij het waarborgen van cyberbeveiliging, wat leidde tot een gebrek aan eigenaarschap van cyberrisico's op strategisch niveau.
• Gebrek aan duidelijkheid: Veel organisaties vonden de vage definities en onduidelijke richtlijnen moeilijk te interpreteren, wat leidde tot inconsistenties in de toepassing.

Al deze tekortkomingen zijn aangepakt en "verholpen" in de NIS2. Dit heeft er ook toe geleid dat veel zaken nu tot in detail zijn vastgelegd in de eigenlijke richtlijn en dat er minder gemanoeuvreerd hoeft te worden door de lidstaten in de nationale wetgeving.

Wat is de belangrijkste inhoud van NIS2?

De NIS2-richtlijn bevat geen gedetailleerde beveiligingseisen voor organisaties, maar wel 13 hoofdgebieden van informatiebeveiliging waarvoor organisaties gedocumenteerde procedures moeten hebben. Dit zijn de belangrijkste NIS2-onderwerpen voor reguliere organisaties. Deze procedures kunnen dan worden opgevraagd bij autoriteiten of worden onderzocht op implementatie, bijvoorbeeld in een beveiligingsaudit.

De belangrijkste inhoud van NIS2: 13 beveiligingsgebieden om te documenteren en te implementeren

NIS2 vereist dat organisaties gedocumenteerde maatregelen hebben voor:

• Risicomanagement en beveiliging van informatiesystemen: Hoe uw organisatie actief potentiële bedreigingen analyseert om beveiligingsrisico's te identificeren, evalueren en beheersen. Dit kan het gebruik van sjablonen voor risicobeoordeling, de identificatie van voldoende competente risicobeoordelaars en documentatie van strategieën voor risicobeperking omvatten.
• Incidentbeheer en rapportage: De activiteiten die uw bedrijf heeft om mogelijke beveiligingsincidenten te identificeren, beheren en beperken. Communicatie speelt hier een cruciale rol, omdat het niet alleen gaat om het detecteren van een probleem, maar ook om het snel kunnen delen van de benodigde informatie met de juiste teams om de reactietijd te versnellen. NIS2 vereist ook dat grote incidenten worden gemeld bij de nationale toezichthoudende autoriteit.
• Logging en detectie: Hoe uw organisatie systematisch cyberbeveiligingsgebeurtenissen vastlegt, analyseert en aanpakt. Uw logs moeten niet alleen beveiligingsincidenten registreren en documenteren, maar ook voldoende details bieden om event correlatie, anomalie detectie en incident onderzoek te vergemakkelijken.
• Bedrijfscontinuïteit en back-ups: Hoe uw organisatie ervoor wil zorgen dat kritieke bedrijfsactiviteiten zonder onderbreking kunnen doorgaan, zelfs tijdens ongunstige gebeurtenissen. Dit kan inhouden dat je uitgebreide continuïteitsplannen ontwikkelt, deze regelmatig test en je personeel traint. Het implementeren en regelmatig testen van robuuste back-upprocessen is ook een cruciaal onderdeel van dit proces.
• Beveiliging en bewaking van de toeleveringsketen: Hoe de inkoopovereenkomsten en partnerkeuzes van je organisatie een acceptabel beveiligingsniveau garanderen. Het is bijvoorbeeld cruciaal om de beveiligingsmaatregelen van externe serviceproviders zorgvuldig te beoordelen voordat u een outsourcingdeal sluit. Het is ook belangrijk om de beveiliging van uw toeleveringsketens regelmatig te controleren en ervoor te zorgen dat eventuele partners kunnen rapporteren over hun NIS2-maatregelen.  
• Veilige systeemverwerving en -ontwikkeling: Hoe uw organisatie de beveiliging van systemen, toepassingen en infrastructuur aanschaft, ontwikkelt en beheert gedurende hun hele levenscyclus. Acties moeten bijvoorbeeld het gebruik van methodologieën en architecturen omvatten die kwetsbaarheid en beveiligingsrisico's minimaliseren, het gebruik van robuuste beveiligingstests, richtlijnen voor veilig coderen en praktijken voor gecontroleerde wijzigingen.
• Effectiviteit van beveiligingsmaatregelen beoordelen: Hoe u de cyberdefensie van uw organisatie bewaakt en test, evenals de verbeteringen die u aanbrengt aan uw informatiebeveiliging. Dit kan bestaan uit audits, het volgen van statistieken, managementbeoordelingen of meer technische benaderingen zoals kwetsbaarheids- of penetratietests. Het belangrijkste is om zowel de implementatie van uw beveiligingsmaatregelen als hun effectiviteit in het daadwerkelijk beveiligen van uw organisatie te beoordelen.
• Cyberhygiënepraktijken en -training: Hoe je effectieve cyberhygiënepraktijken implementeert op alle niveaus. Hieronder vallen zaken als het veilig houden van apparaten, het afdwingen van goede wachtwoordpraktijken en het veilig gebruiken van e-mail om phishing-aanvallen te voorkomen. Het gaat erom alle medewerkers te begeleiden naar veilige manieren van werken en zo een cultuur van informatiebeveiliging te creëren. Regelmatige en uitgebreide trainingssessies kunnen helpen om ervoor te zorgen dat alle medewerkers de cyberrisico's en hun rol in het beperken ervan begrijpen.
• Encryptie: Hoe digitale informatie, vooral gevoelige gegevens, worden omgezet in code om ongeautoriseerde toegang te voorkomen. Het is cruciaal dat je begrijpt dat encryptie niet alleen veilige communicatie tussen verschillende digitale platforms inhoudt, maar ook efficiënt beheer van de encryptiesleutels.
• Personeelsbeveiliging: hoe uw organisatie ervoor zorgt dat werknemers, contractanten en externe gebruikers hun verantwoordelijkheden op het gebied van informatiebeveiliging begrijpen en zich hieraan committeren. Het is essentieel dat bedrijven robuuste wervingsprocessen ontwikkelen, inclusief achtergrondcontroles, om vanaf het begin een veilige personeelsbasis te hebben. Een cultuur waarin de noodzaak van informatiebeveiliging wordt benadrukt, proportionele controle en bijvoorbeeld geheimhoudingsovereenkomsten kunnen een organisatie verder beschermen tegen interne bedreigingen.
• Toegangscontrole: Deze acties beschrijven hoe je organisatie beslist wie toegang krijgt tot welke informatie. Dit omvat het instellen van protocollen zoals rolgebaseerd toegangsbeheer en regelmatige toegangscontroles. Rolgebaseerd toegangsbeheer kan ervoor zorgen dat alleen noodzakelijk personeel toegang heeft tot gevoelige gegevens, waardoor de kans op onopzettelijk of opzettelijk misbruik van gegevens afneemt.
• Beheer van bedrijfsmiddelen: Hoe uw organisatie haar informatie-assets identificeert en classificeert. Een belangrijk onderdeel van dit proces is het verduidelijken van het eigendom van bedrijfsmiddelen en ervoor zorgen dat de eigenaar verantwoordelijk is voor het beschermen van die bedrijfsmiddelen. Het is ook van vitaal belang om ervoor te zorgen dat alle cruciale informatie-assets op de juiste manier worden geclassificeerd en beschermd.
• Multi-factor authenticatie (MFA): Hoe uw organisatie gebruik maakt van extra beschermingslagen voor standaard wachtwoordprotocollen. Deze verhoogde bevestiging is bedoeld om de kans op netwerkverstoringen en ongeautoriseerde toegang te verkleinen. Gebruikte methoden kunnen onder meer biometrische verificatie, beveiligingsmunten of sms-berichten zijn, naast het invoeren van reguliere wachtwoorden. Om MFA breed in te zetten, moeten medewerkers vaak ook worden opgeleid in gerelateerde tools.

Specifieke vereisten voor rapportage van incidenten en beveiliging van de toeleveringsketen

NIS2 biedt ook aanvullende maatregelen voor incidentbeheer en ketenbeheer.

Vereisten voor incidentrapportage van NIS2

Belangrijk is dat NIS2 erkent dat incidenten gebeuren en zullen blijven gebeuren. Het doel van de richtlijn is niet om schuldigen aan te wijzen, maar om transparantie te garanderen, vertrouwen te behouden en het delen van informatie en beste praktijken te bevorderen om de algehele veerkracht van de beveiliging te vergroten.

Organisaties zijn verplicht om alle significante beveiligingsincidenten die de werking of de gegevens in gevaar kunnen brengen 24 uur, 72 uur en 30 dagen na ontdekking van het incident te melden aan autoriteiten en servicegebruikers.

De eerste meldingen moeten basisinformatie bevatten, samen met een beoordeling van de omvang van de gevolgen. De laatste melding moet een gedetailleerde beschrijving bevatten van wat er is gebeurd, samen met een analyse van de hoofdoorzaak en de acties die naar aanleiding van het incident zijn ondernomen.

Eisen van NIS2 voor bewaking van de toeleveringsketen

NIS2 verplicht u ervoor te zorgen dat uw toeleveringsketen niet de zwakste schakel is in de grotere cyberbeveiligingsmatrix. Het gaat niet langer alleen om uw directe activiteiten; uw wettelijke mandaat strekt zich ook uit tot uw externe leveranciers en dienstverleners.

Organisaties moeten een goed inzicht hebben in hun eigen toeleveringsketens, met name als het gaat om vragen als wie zijn de cruciale spelers bij het leveren van onze diensten, wat voor soort zekerheid hebben we over hun beveiligingsniveau en hoe bewaken we hun beveiliging en verplichten we hen tot bepaalde acties?

Dit effect zal ook het effect van NIS2 verbreden, niet alleen naar bedrijven die direct onder het toepassingsgebied van NIS2 vallen, maar ook naar hun belangrijkste leveranciers.

NIS2-toezicht in een notendop

De oorspronkelijke NOS vertoonde duidelijke tekortkomingen op het gebied van toezicht. NIS2 probeert dit te voorkomen door duidelijke minimummethoden voor toezicht op richtlijnniveau te definiëren en alleen de mogelijkheid open te laten om meer toe te voegen aan de nationale wetten.

In de nationale wetgeving voor de implementatie van NIS2 wordt natuurlijk vastgelegd wie de autoriteiten zijn die toezicht houden op de implementatie van NIS2 in het volgende land, en wordt het toezicht bijvoorbeeld per sector onderverdeeld in verschillende autoriteiten.

In de richtlijn worden minimale methoden voor het uitvoeren van het toezicht gedefinieerd:

• Verzoeken om informatie
• Verzoeken om meer gedetailleerd bewijs
• On-site of off-site controles
• Gedetailleerde beveiligingsaudits

Als niet-naleving wordt waargenomen, worden bijvoorbeeld de volgende methoden gebruikt:

• Waarschuwingen
• Bindende instructies met deadlines
• Boetes (max. 10M€ of 2% van de wereldwijde jaaromzet)

Waarom is NIS2 zo belangrijk voor het topmanagement?

NIS2 zegt heel duidelijk dat het topmanagement van een organisatie verantwoordelijk kan worden gehouden voor het niet voldoen aan de beveiligingseisen van artikel 21. Volgens NIS2 is de rol van het topmanagement bij informatiebeveiliging dus ten minste Dus volgens NIS2 is de rol van het topmanagement bij informatiebeveiliging ten minste om:

• Accepteer de beveiligingsmaatregelen voor de 13 genoemde thema's - en bevestig dat ze goed genoeg zijn om de risico's voor informatiebeveiliging onder controle te houden.
• Toezicht houden op en zorgen voor de implementatie van deze beveiligingsmaatregelen
• Toezicht houden op beveiligingsmaatregelen voor de toeleveringsketen en rapporteren van incidenten

Om het duidelijk te stellen: onder NIS2 is de verantwoordelijkheid van het topmanagement aanzienlijk meer dan alleen op de hoogte zijn van cyberbeveiliging. Het gaat om actie en verantwoordelijkheid - het implementeren van regelgeving, het beheren van risico's en het leiden van de leiding bij het reageren op cyberbeveiligingsincidenten.

Daarnaast neemt het topmanagement gewoonlijk deel aan goede informatiebeveiliging door op zijn minst middelen toe te wijzen, beveiligingsdoelstellingen vast te stellen en betrokkenheid bij informatiebeveiliging in het algemeen te tonen.

Dit alles betekent dat de rol van het topmanagement zowel een wettelijke als een ethische verantwoordelijkheid met zich meebrengt. NIS2 beschouwt de actieve betrokkenheid en inzet van het topmanagement als cruciaal voor het bereiken van de doelen.

Hoe moet je je organisatie voorbereiden? 3 niveaus voor actie.

Licht niveau: Documenteer je procedures door geschikte maatregelen uit best practices te plukken

Een manier om NIS2 te benaderen is door de meest gangbare best practice-standaarden te benchmarken (bijv. ISO 27001 of NIST CSF) en op basis daarvan te zoeken naar meer gedetailleerde controles voor het implementeren van de 13 beveiligingsgebieden.

Je kunt het benaderen vanuit het perspectief van "wat hebben we al gedaan", althans gedeeltelijk, om snel op snelheid te komen.

Het duidelijke nadeel van deze aanpak is vaak dat het niet leidt tot een duurzame ontwikkeling van je informatiebeveiliging op de lange termijn en dat het uiteindelijk een documentatieoefening wordt.

Middelbaar niveau: Begin met het opbouwen van uw ISMS (gebaseerd op best practices)

Een ISMS (Information Security Management System) zorgt voor een systematische aanpak van informatiebeveiliging door informatiebeveiligingsgerelateerde zaken op één plek te verzamelen, inzicht te geven in je huidige beveiligingsniveau en een grondige controle van beveiligingsacties mogelijk te maken.

Op deze manier kunt u op de lange termijn compliance behouden en cyberbeveiligingsrisico's verminderen door uw beveiligingsacties voortdurend te verbeteren.

Sterk niveau: Certificeer uw ISMS tegen ISO 27001

Het certificeren van uw ISMS (bijv. tegen ISO 27001) betekent dat een externe, geaccrediteerde auditor uw ISMS heeft doorgenomen en ervoor heeft gezorgd dat het voldoet aan de vereisten en controles van het geselecteerde raamwerk.  

Deze aanpak biedt voordelen zoals onweerlegbaar bewijs van een goed beveiligingsniveau, dat je niet alleen kunt gebruiken voor NIS2-toezicht, maar ook voor elke vorm van verkoop of samenwerking waarbij informatiebeveiligingsperspectieven een rol spelen.

Conclusie

Tot slot is het goed om te begrijpen dat de NIS2-richtlijn deel uitmaakt van de grotere digitale transformatiegroei in de Europese Unie. Het vereist duidelijkheid van organisaties - documenteren hoe ze verschillende aspecten van informatiebeveiliging hebben geïmplementeerd en achter die keuzes staan. Het verplicht het topmanagement ook tot informatiebeveiliging op een geheel nieuw niveau.

De brede beveiligingsmaatregelen en meldingsvereisten voor incidenten in de richtlijn onderstrepen een prioritaire verschuiving naar verbeterde transparantie, verantwoording en algehele weerbaarheid tegen cyberdreigingen. Hoewel de implementatie van NIS2 ongetwijfeld een aanzienlijke inzet vergt, wegen de voordelen ruimschoots op tegen de kosten.

Het opzetten van een Information Security Management System (ISMS), of u dit nu baseert op andere best practices of streeft naar ISO 27001 certificering, is een beproefde manier voor succes. Onthoud echter dat het een reis is, geen race. Het aannemen van een gefaseerde strategie die past bij de context, capaciteit en mogelijkheden van uw organisatie zal duurzame resultaten opleveren en bijdragen aan uw digitale integriteit op de lange termijn.