DSE IT-Services heeft u al eerder bericht over de nieuwe richtlijn, maar dat is niet zonder reden. Want hoewel de voorbereidingen voor NIS2 nog in volle ontwikkeling zijn, kunt u als bedrijf wel al aan de slag met deze nieuwe wetten. Ook kunnen we u weer van meer informatie voorzien over deze richtlijn. Daarom nog even op een rijtje wat de vernieuwde NIS inhoudt en waarom het belangrijk is om deze ontwikkelingen in de gaten te houden.
Network and Information Security directive
Oftewel de NIS2-richtlijn. Het gaat om de opvolger van de NIS-richtlijn, die eerder was vastgesteld door de Europese Unie. Het doel van deze richtlijn was de cyberbeveiliging en de weerbaarheid van essentiële diensten binnen de EU-lidstaten te verbeteren. Met de komst van de opvolger wil de EU de reikwijdte vergroten door meer sectoren toe te voegen. Tevens zullen er strengere beveiligingsnormen en meldingsvereisten voor incidenten (cyberaanvallen) gelden zodra NIS2 in werking treedt. Want zoals eerder vermeld, is de NIS2-richtlijn in Nederland nog in ontwikkeling. De richtlijn wordt namelijk vertaald naar de Nederlandse wetgeving. Dat betekent echter niet dat de richtlijn verder in Europa ook nog in ontwikkeling is. Daar is de richtlijn wel al geaccepteerd en moeten organisaties zich daar ook aan houden. Dat geldt ook voor organisaties die gevestigd zijn in Nederland en diensten elders in Europa verlenen.
Waarom is deze opvolger in het leven geroepen?
Dat het tijd is voor een opvolger van de NIS, komt door de ontwikkelingen die de laatste jaren hebben plaatsgevonden. De gevolgen van klimaatverandering, covid-19 pandemie, oorlogen en cyberdreigingen maken dat we de beveiliging van onze data moeten verbeteren. Daarom is de EU sinds 2020 aan het werk met de NIS2. Door in te gaan op risico’s die netwerk- en informatiesystemen kunnen bedreigen wil de EU met de richtlijn een hoger niveau van cybersecurity voor bedrijven en organisaties binnen de Europese Unie.
Zorgplicht, Meldingsplicht & Toezicht
Dat zijn de drie verplichtingen die onder NIS2 vallen en daarom een korte toelichting:
Zorgplicht: Bedrijven en organisaties dienen zelf een risicobeoordeling uit te voeren. Aan de hand van deze beoordeling moeten passende maatregelen genomen worden om ervoor te zorgen dat de continuïteit van de diensten zoveel mogelijk door kan gaan en de informatie beschermt blijft.
Meldingsplicht: Incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder. U moet hier denken aan incidenten die de continuïteit van de diensten die u levert aanzienlijk kunnen verstoren. Is er sprake van een cyberincident zoals gehackt worden, dan moet u dit ook melden bij het Computer Security Incident Response Team (CSIRT). Zij kunnen u hulp en bijstand bieden. Er zijn een aantal factoren waaraan u kunt meten of een incident gemeld moet worden:
- Het aantal personen dat met de storing te maken krijgt.
- De tijdsduur van het incident.
- Eventuele financiële verliezen.
Er komen nog drempelwaarden voor specifieke sectoren. Deze worden op dit moment nog verder uitgewerkt, DSE IT-Services houdt u op de hoogte.
Toezicht: Valt uw organisatie onder de richtlijn, dan krijgt u ook verplicht toezicht. Volgens de vernieuwde NIS-richtlijn dient een onafhankelijk toezichthouder de naleving van de verplichtingen in de gaten te houden. Bij naleving moet u denken aan de zorg- en meldplicht.
U kunt nu al aan de slag
Of u straks wel of niet onder de richtlijn valt; u kunt altijd aan de slag met uw cyberbeveiliging. Zo kunt u bijvoorbeeld al een risicobeoordeling laten doen. Aan de hand van de resultaten kunt u dan al maatregelen treffen om het risico te verlagen. Sowieso is dit een goed idee om hackers buiten de deur te houden. Alvast beginnen met het naleven van de NIS2-richtlijn geeft u niet alleen een voorsprong, maar ook een beter beveiligde werkplek.
Heeft u echter al diensten die u levert aan andere landen binnen Europa? Dan is het niet meer ‘voorbereiden op’, maar aan de slag gaan met de NIS2. Het is namelijk zo dat deze richtlijn al wel geaccepteerd is in Europa en daarmee al actief is. DSE IT-Services kan u helpen bij het treffen van de juiste maatregelen omtrent de NIS2.
Omdat de NIS2-richtlijn nog vertaald wordt naar de Nederlandse wetgeving, zal langzaam maar zeker steeds meer duidelijk worden over de NIS2 in Nederland. Dat is de reden waarom DSE IT-Services u hierover op de hoogte blijft houden.
Mocht het voor u onduidelijk zijn of u te maken krijgt met de NIS2, dan kunt u voor meer informatie gerust contact opnemen met een van onze medewerkers via 0251-278990 of info@dseit.nl.