In een tijdperk waarin onze maatschappij en economie worden geconfronteerd met diverse bedreigingen, van pandemieën tot cyberdreigingen en geopolitieke spanningen, is een stevige verdediging van onze digitale systemen cruciaal. De Europese Unie heeft dit begrepen en introduceerde in 2020 de Network and Information Security directive, beter bekend als de NIS2 richtlijn. Deze richtlijn, opvolger van de NIS-richtlijn, heeft als doel de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te versterken.

Uitbreiding van scope en striktere normen

Een opvallend kenmerk van de NIS2-richtlijn is de uitbreiding van de reikwijdte. De NIS2 breidt de oorspronkelijke sectoren uit de eerste versie uit. De richtlijn legt tevens striktere beveiligingsnormen en meldingsvereisten voor incidenten op, waardoor de Europese lidstaten gedwongen worden hun cyberbeveiliging naar een hoger niveau te tillen.

Belangrijke sectoren inclusief overheid

Een significante verandering ten opzichte van de vorige richtlijn is de inclusie van de overheidssector binnen de NIS2. Dit betekent dat zowel delen van de centrale overheid als lokale overheden onder de verplichtingen vallen. De richtlijn biedt een uitzondering voor overheidsinstanties die zich voornamelijk bezighouden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.

Verplichtingen volgens de NIS2 richtlijn

De NIS2-richtlijn legt drie essentiële verplichtingen op aan organisaties:

  1. Zorgplicht: Entiteiten moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten en informatie te beschermen.
  2. Meldplicht: Incidenten die de verlening van essentiële diensten sterk kunnen verstoren, moeten binnen 24 uur bij de toezichthouder worden gemeld, inclusief cyberincidenten die bij het Computer Security Incident Response Team moeten worden aangegeven.
  3. Toezicht: Organisaties onder de richtlijn komen onder toezicht te staan van een onafhankelijke toezichthouder, die de naleving van de verplichtingen controleert.

Voorbereiding op NIS2 richtlijn

Organisaties kunnen zich voorbereiden door te voldoen aan bestaande kaders voor informatiebeveiliging, zoals de Baseline Informatiebeveiliging Overheid (BIO). Belangrijk daarbij is natuurlijk het digitaal vastleggen van zowel je beleid als je checks en maatregelen.

Je brengt eerst je processen en de bijbehorende risico’s in kaart. Als je dan weet wat er mis kan gaan, wil je dat natuurlijk voorkomen. Dat doe je door daar een controle-cyclus op los te laten. Zo blijf je consequent checken en verbeteren. Verder blijft het natuurlijk altijd belangrijk om ook losse incidenten te registreren.

Benieuwd hoe je zo’n risicoanalyse uitvoert binnen jullie organisatie? Lees dan hier verder!

Categories: Blog, Informatiebeveiliging /