De naderende NIS2-deadline: dit is wat je moet weten
De implementatiedeadline van NIS2 staat op 17 oktober en nadert dus snel. Nederland voert deze richtlijn in als Cybersecuritywet (Cbw). Carl Leonard, Cybersecuritystrateeg bij Proofpoint voor de EMEA-regio, gaat verder in op de implementatie van NIS2 en de impact op organisaties die aan de nieuwe maatregelen moeten voldoen
Wat zijn de belangrijkste bepalingen en maatregelen in NIS2 die bedrijven aanmoedigen om meer in cybersecurity te investeren?
“De standaard voor de bescherming van burgers, het voortzetten van operaties en het waarborgen van veerkracht is veranderd. Organisaties moeten hard werken om aan deze nieuwe normen te voldoen. Voorbereiden op NIS2 is geen spelletje om te kijken wat je kunt vermijden, maar een kans voor organisaties om verder te gaan dan de minimumvereisten en dit als concurrentievoordeel te gebruiken.
NIS2 laat zien dat organisaties die kritieke diensten aanbieden voorzichtig moeten zijn. Hoge boetes, mogelijke stopzetting van diensten en toezicht op naleving dwingen hen om cybersecuritydreigingen serieus te nemen en adequaat te reageren. NIS2 legt een basisniveau vast voor risicobeheer en mitigatiemaatregelen, zoals het afhandelen van incidenten, training van personeel en verantwoordelijkheden voor leiderschap. In ruil daarvoor verwacht ik dat organisaties betere ondersteuning krijgen door Europese samenwerking. Dit omvat het delen van dreigingsinformatie, een groter gemeenschappelijk niveau van cybersecurity en een 'samen staan we sterker-mentaliteit'. Dit is goed nieuws voor zowel organisaties die goed willen blijven functioneren in het uitdagende dreigingslandschap als voor burgers die afhankelijk zijn van hun diensten.”
Welke maatregelen moeten bedrijven intern nemen om aan de richtlijn te voldoen?
“Bedrijven moeten eerst nagaan of hun sector, subsector en omvang onder NIS2 vallen en zich registreren. De meeste organisaties kijken naar Artikel 21 en 23 van NIS2 om de risicobeheersingsmaatregelen en meldingsverplichtingen te begrijpen. Onduidelijkheid over hoe deze maatregelen in de praktijk werken kan problemen opleveren. Organisaties moeten een set risicobeheersingsmaatregelen implementeren. Als er een maatregel ontbreekt, kan dit de naleving volledig in twijfel trekken en slechte verdedigingen aantonen. NIS2 biedt een ‘minimale lijst’ van maatregelen, zoals het afhandelen van incidenten, training van personeel, het beveiligen van de supply chain en multi-factor authenticatie (MFA). Organisaties moeten hun cybersecurity voortdurend verbeteren om voorbereid te zijn op dreigingen en toekomstige risico’s.”
Hoe beïnvloedt NIS2 deze bedrijven precies? Welke interne processen en budgetbeslissingen zijn nodig om te voldoen aan de EU-richtlijn NIS2?
“Het is lastig te bepalen of een organisatie genoeg heeft gedaan om aan de vereiste maatregelen te voldoen. Getroffen organisaties willen duidelijke richtlijnen over wat acceptabele incidentafhandeling inhoudt, zodat ze aan auditors en autoriteiten kunnen laten zien welke ‘geschikte en evenredige technische, operationele en organisatorische maatregelen’ ze hebben genomen. Tegen het einde van oktober 2024 hopen we op meer duidelijkheid en voorbeelden van hoe bedrijven ter verantwoording worden geroepen. De richtlijn is helder: organisaties moeten hun huidige sterke en zwakke punten begrijpen en onderzoeken hoe ze hun cyberweerbaarheid en -security kunnen verbeteren. Zo kunnen ze risico’s beter beheersen, hun activiteiten voortzetten en de impact van incidenten op hun diensten minimaliseren.”
Welke straffen en sancties kan de EU opleggen op basis van NIS2?
“Veel leiders zien dat autoriteiten organisaties tijdelijk kunnen verbieden om diensten te leveren, CEO’s kunnen worden uitgesloten van hun functie en verantwoordelijk worden gehouden voor het niet naleven van NIS2. Autoriteiten kunnen organisaties dwingen om slecht beleid te stoppen, fouten openbaar te maken en corrigerende maatregelen te nemen. Boetes naar aanleiding van het niet naleven van de richtlijn ontmoedigen slecht cybersecuritybeleid en benadrukken het belang van een goede bedrijfsvoering. De dreiging van boetes tot 10 miljoen euro of 2% van de wereldwijde omzet is het stokpaardje voor sectoren van hoge kritieke waarde.”
Hoe verhoudt deze regelgeving zich tot andere wetten, zoals de AVG, DMA en DSA, voor bedrijven?
“Tijd en geld zijn belangrijk voor ieder bedrijf. Onder NIS2 moeten organisaties binnen 24 uur een vroegtijdige melding aan de autoriteiten geven, terwijl de AVG 72 uur hanteert. Voor ernstige overtredingen zijn de boetes onder de AVG-wetgeving twee keer zo hoog als die van NIS2. Dit laat zien dat schendingen van persoonlijke gegevens de ergste gevolgen hebben.”