De herziening van de Network and Information Security Directive (NIS2) is de nieuwe Europese cybersecurity wetgeving. Deze gaat eind 2024 in Nederland gelden. De richtlijn is vastgesteld door de Europese Unie. Met als doel de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Voor welke sectoren en organisaties gaat NIS2 gelden? Wat zijn verplichtingen voor organisaties? En hoe kunnen organisaties zich voorbereiden?
De NIS2 richtlijn gaat gelden voor sectoren en organisaties(link naar andere website) die van vitaal belang zijn voor de maatschappij. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders. De NIS2 introduceert uniforme regels voor middelgrote en grote organisaties.
Aan welke verplichtingen moeten organisaties zich houden als ze onder de NIS2-richtlijn vallen?
Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.
Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp- en bijstand verlenen.
Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.
Welke voorbereidingen kunnen organisaties alvast treffen? Start met het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).(link naar andere website) Daarnaast kun je maatregelen nemen om de veiligheid en weerbaarheid van processen en diensten te verbeteren. Denk bijvoorbeeld aan:
Het inventariseren en analyseren van risico’s. Bekijk het stappenplan risicoanalyse(link naar andere website);
Stel een incident response plan(link naar andere website) op;
Werk aan bewustwording(link naar andere website) van personeel bijvoorbeeld door een phishingcampagne(link naar andere website);
Ook is het verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.