Ga naar de inhoud

Bluebird & Hawk

NIS 2 komt eraan!​

De NIS2 komt eraan en dit kan gevolgen hebben voor uw organisatie en de manier waarop u met informatiebeveiliging omgaat!

Op dit moment is de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI) van toepassing. Deze wet is geschreven op basis van de Europese NIS (1) -richtlijn uit 2016 (in de Nederlandse vertaling de NIB-richtlijn). Op 16 januari 2023 is de NIS1 aangepast naar de NIS2. Alle lidstaten hebben nu 21 maanden, tot 17 oktober 2024, de tijd om de maatregelen in nationaal recht om te zetten. Een WBNI2 is aanstaande (al wellicht wordt een andere naam gekozen). Op het moment dat de Nederlandse wet ingaat is deze ook direct van toepassing. Organisaties moeten vanaf dat moment direct voldoen aan alle nieuwe eisen die gesteld worden.

Werk aan de winkel dus! Want de NIS2 legt de lat voor informatiebeveiliging (cybersecurity) niet alleen hoger, maar gaat ook gelden voor meer sectoren en organisaties. Het doel is het minimale beveiligingsniveau van netwerk- en informatiesystemen te verbeteren zodat essentiële en belangrijke organisaties in Europa hun weerbaarheid tegen cyberaanvallen collectief verbeteren.

Er moet naar alle risico’s en gevaren worden gekeken van netwerken en informatiesystemen en de fysieke omgeving van die systemen om zo tegen incidenten te beschermen. Dit omvat ten minste het volgende:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
  • beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Volgens de NIS2-richtlijn zijn zeer kritieke sectoren:

  • Energie (elektriciteit; stadsverwarming en -koeling, aardolie; aardgas; waterstof);
  • Vervoer (lucht; spoor; water; weg);
  • Bankwezen;
  • Infrastructuur voor financiële markten;
  • Gezondheidszorg;
  • Drinkwater;
  • Afvalwater;
  • Digitale infrastructuur;
  • Beheer van ICT diensten (business to business);
  • Overheid;

En definieert NIS2-richtlijn de volgende andere kritieke sectoren:

  • Post- en koeriersdiensten;
  • Afvalstoffenbeheer;
  • Vervaardiging, productie en distributie van chemische stoffen;
  • Productie, verwerking en distributie van levensmiddelen;
  • Vervaardiging (medische hulpmiddelen; informaticaproducten, elektronische en optische producten; elektrische apparatuur; machines, apparaten en werktuigen; motorvoertuigen, aanhangers en opleggers; andere transportmiddelen);
  • Digitale aanbieders (online marktplaatsen, zoekmachines social netwerkdiensten);
  • Onderzoek (onderzoeksorganisaties).

Ons advies is om tijdig te beginnen om uw organisatie voor de deadline van oktober 2024 te laten voldoen aan de aanstaande wetgeving. Wij zijn u daarbij graag van dienst! Ons motto is niet voor niets: Elevating Cybersecurity!

Bluebird & Hawk B.V.

Maart 2023

Tags: