De herziening van de Network and Information Security Directive (NIS2) is de nieuwe Europese cybersecurity wetgeving. Deze gaat eind 2024 in Nederland gelden. De richtlijn is vastgesteld door de Europese Unie. Met als doel de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Voor welke sectoren en organisaties gaat NIS2 gelden? Wat zijn verplichtingen voor organisaties? En hoe kunnen organisaties zich voorbereiden?
Sectoren
De NIS2 richtlijn gaat gelden voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders. De NIS2 introduceert uniforme regels voor middelgrote en grote organisaties.
Verplichtingen
Aan welke verplichtingen moeten organisaties zich houden als ze onder de NIS2-richtlijn vallen?
- Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.
- Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp- en bijstand verlenen.
- Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.
Voorbereiding
Welke voorbereidingen kunnen organisaties alvast treffen? Start met het voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast kun je maatregelen nemen om de veiligheid en weerbaarheid van processen en diensten te verbeteren. Denk bijvoorbeeld aan:
- Het inventariseren en analyseren van risico’s. Bekijk het stappenplan risicoanalyse;
- Stel een incident response plan op;
- Werk aan bewustwording van personeel bijvoorbeeld door een phishingcampagne;
- Ook is het verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.
Heb je vragen over de NIS2? Mail dan naar info@digitaleoverheid.nl. Verder attenderen we je graag op het cyberwebinar dat de NCTV op 21 november verzorgt over de NIS2-richtlijn.