Skip to content

NIS2: geen revolutie, wel urgentie

Wie de vereisten van NIS2 goed doorloopt, ziet dat de wet geen volledige verbouwing vraagt. Het is een formalisering van wat elke goed beheerde organisatie al zou moeten doen en de vertaling daarvan naar aantoonbare, structurele borging. De meeste organisaties zijn verder dan ze denken. Het ontbreekt niet aan maatregelen, maar aan overzicht.

De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, treedt per 1 juli dit jaar in werking. Duizenden Nederlandse organisaties krijgen er dan direct mee te maken. En toch heeft een aanzienlijk deel de voorbereiding nog niet opgepakt. Niet omdat ze achterlopen, maar omdat de wet omgeven is door taalgebruik dat eerder onrust wekt dan helderheid biedt. Het aantal werkelijk nieuwe maatregelen is beperkt. De opgave zit vooral in het gestructureerd samenbrengen van wat vaak al verspreid aanwezig is, en in het aantoonbaar maken ervan.

NIS2

Voor welke organisaties geldt NIS2?

De wet geldt voor organisaties die actief zijn in een van de aangewezen sectoren en die voldoen aan de omvangdrempels. De reikwijdte daarvan is aanzienlijk en strekt zich uit over een breed palet aan sectoren. De wetgever maakt onderscheid tussen zeer kritieke sectoren, waaronder energie, gezondheidszorg en digitale infrastructuur en andere kritieke sectoren, zoals levensmiddelen, chemie en manufacturing.

De omvangdrempels zijn als volgt:

  • Middelgrote organisaties: 50 of meer medewerkers, of een jaaromzet en balanstotaal van meer dan €10 miljoen.
  • Grote organisaties: 250 of meer medewerkers, of een jaaromzet boven €50 miljoen en een balanstotaal boven €43 miljoen.

Relevant is ook de ketenverantwoordelijkheid. Organisaties die zelf niet direct onder de wet vallen, kunnen er alsnog mee te maken krijgen als zij diensten leveren aan partijen die dat wel doen. Die partijen moeten aantoonbaar grip hebben op hun toeleveringsketen en zullen die verplichting doorvertalen naar hun leveranciers, bijvoorbeeld via contractuele eisen op het gebied van informatiebeveiliging en incidentmelding.

Wat vraagt NIS2 concreet?

NIS2 kent drie verplichtingen: een registratieplicht, een meldplicht en een zorgplicht.

Registratieplicht: Organisaties die in scope vallen melden zich aan in het entiteitenregister bij de bevoegde toezichthouder voor hun sector.

Meldplicht: Significante cybersecurity-incidenten moeten binnen 24 uur worden gemeld bij de Rijksdienst voor Digitale Infrastructuur (RDI), met een volledig rapport binnen 72 uur en een eindrapportage binnen een maand.

Zorgplicht: Dit is het zwaarste onderdeel. Organisaties moeten aantoonbaar maatregelen hebben getroffen op een reeks gebieden: risicobeheer, toegangsbeleid, versleuteling, incidentrespons, continuïteitsplanning, leveranciersmanagement en datamanagement. Bestuurders zijn hiervoor persoonlijk verantwoordelijk.

Wie de zorgplichtmaatregelen naast het bestaande beveiligingsbeleid (op basis van bijvoorbeeld een ISO 27001-norm) legt, ziet dat er aanzienlijke overlap is. MFA, patchmanagement, toegangsbeleid, endpoint protection, back-up en herstel, awareness training: dit zijn maatregelen die elke volwassen IT-omgeving al zou moeten kennen. NIS2 voegt dus niet zozeer nieuwe verplichtingen toe, als wel een wettelijke verankering. En één ding dat daarbij vaak wordt onderschat: een incidentmeldingsprocedure die nooit is geoefend, bestaat niet. Waar organisaties zich tot nu toe vrijwillig aan een norm als ISO 27001 konden conformeren, of dat deden op basis van contractuele afspraken, is diezelfde invulling voor wie in scope valt voortaan wettelijk vereist.

Samenhang van maatregelen

Alle maatregelen draaien uiteindelijk om één ding: de bescherming van data. Netwerken, toegangsbeleid en patchmanagement zijn middelen, geen doelen op zich. Data is waar ransomware, DDoS-aanvallen en datalekken op aangrijpen en daarmee het sluitstuk van de zorgplicht. Juist daarom loont het om niet in afzonderlijke maatregelen te denken, maar in samenhang. Hoe goed MFA ook staat afgesteld, zonder betrouwbare back-up, actuele classificatie of doordachte archivering blijft er een opening.

Diezelfde logica geldt voor de toeleveranciersketen. Weinig organisaties opereren zelfstandig, en zeker in de IT zijn afhankelijkheden van externe partijen eerder regel dan uitzondering. Cloudleveranciers, beheerpartijen, softwareontwikkelaars en dataverwerkers raken vrijwel altijd aan de informatiestromen die onder de zorgplicht vallen. Een datalandschap is daarmee zo sterk als de zwakste schakel in de keten. Wie de eigen omgeving op orde heeft maar geen zicht heeft op de beveiligingsvolwassenheid van leveranciers, houdt een blinde vlek waarop zowel aanvallers als toezichthouders kunnen aangrijpen.

Organisaties die data lifecycle management, encryptie, back-up en archivering als één geheel inrichten en die samenhang doortrekken naar hun leveranciers, bouwen aan een fundament dat zowel aan de NIS2-vereisten voldoet als de bredere continuïteit versterkt.

Compliance is geen eindstreep

NIS2-compliance is geen project is met een einddatum. Dreigingen ontwikkelen zich, systemen veranderen en de toeleveringsketen beweegt mee. De maatregel die vandaag voldoet, kan over zes maanden tekortschieten. NIS2 vraagt daarom geen momentopname maar een doorlopend proces van bewaking, evaluatie en verbetering.

Organisaties die dat inzien worden daadwerkelijk weerbaar. Niet omdat de wet het voorschrijft, maar omdat het de enige manier is waarop beveiliging in de praktijk standhoudt.

Een praktisch vertrekpunt

De voorbereiding op NIS2 begint met drie stappen:

  1. Scopebepaling: valt uw organisatie direct onder de wet, en welke leveranciers in uw keten ook?
  2. Gap-analyse op de zorgplichtmaatregelen: welke zijn al ingericht, welke ontbreken, en wat heeft prioriteit?
  3. Incidentmeldingsprocedure: zorg dat het op papier staat en getest is.

De meeste organisaties zijn verder dan ze denken. NIS2 legt immers vooral een wettelijke verankering onder maatregelen die in volwassen IT-omgevingen al grotendeels aanwezig zijn. Een gestructureerde nulmeting maakt zichtbaar waar u staat en wat er nog nodig is, zonder dat daar een volledige verbouwing voor nodig is.

Wilt u weten waar uw organisatie nu staat? Wij voeren de nulmeting uit, benoemen de gaps en geven u een concreet vervolgtraject. Geen rapport van honderd pagina’s maar een helder beeld en een werkbare aanpak.

Vorig bericht
Volgend bericht
Vorig bericht
Volgend bericht
Schrijf u in voor onze nieuwsbrief
Managed IT voor duurzame groei.
Databalance
Databalance