De nieuwe wet voor digitale veiligheid: alles over NIS2
Vanaf 17 oktober 2024 gelden er nieuwe regels op het gebied van cybersecurity. Dan treedt namelijk de nieuwe Europese richtlijn Network and Information Systems (NIS2) in werking. Bedrijven moeten dan verplicht maatregelen nemen op het gebied van digitale veiligheid. Dit is wat we tot nu toe weten.
Wat is de NIS-richtlijn?
In 2016 werd de Network and Information Systems-richtlijn (NIS) geïntroduceerd om de cybersecurity in de EU te verbeteren. Hierdoor is er nu één Europees beleid voor het beveiligen van netwerken en informatie. In Nederland wordt NIS ook wel NIB genoemd (Netwerk- en Informatiebeveiliging). Met de NIB-richtlijn werd in 2018 de Wet beveiliging netwerk- en informatiesystemen (Wbni) ingevoerd. Deze wet geldt voor alle bedrijven in de energiesector (elektriciteit, olie en gas) en transport.
Wat houdt de nieuwe NIS2 in?
De vernieuwde Network and Information Systems-richtlijn (NIS2) werd begin 2023 ontworpen. De NIS2 heeft als doel om de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten in de EU te beperken, met name ransomware-aanvallen en hacks die de samenleving kunnen schaden. Dit zijn de belangrijkste veranderingen.
- De NIS2 geldt voor meer sectoren
Naast energie en transport gaat de NIS2 ook gelden voor overheidsdiensten en middelgrote en grote bedrijven met een omzet van 10 miljoen euro of meer. Denk aan voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, bankwezen en ruimtediensten. - De NIS2 heeft strengere eisen
De NIS2 legt drie verplichtingen op aan organisaties. Ten eerste is er een zorgplicht (door risico’s te beoordelen en passende maatregelen te nemen), ten tweede een meldplicht (incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder) en ten derde een controleplicht (door de toezichthouder om te controleren of ze aan de eisen voldoen). - De beveiliging van gebouwen wordt verhoogd
Met NIS2 wordt de beveiliging van gebouwinstallaties verbeterd door over te stappen van BACnet (Building Automation and Control Network) naar BACnet Secure Connect. Het huidige BACnet, dat al sinds 1987 wordt gebruikt, maakt het gemakkelijk om apparaten van verschillende leveranciers toe te voegen aan elk internetprotocol (IP). Hierdoor zijn ze echter kwetsbaar voor hackers.
Als bedrijven de NIS2-richtlijn niet opvolgen, kunnen bedrijven niet alleen het doelwit worden van cyberaanvallen, maar kunnen ze ook een forse boete krijgen van 7 tot 10 miljoen euro. Het is daarom erg belangrijk dat bedrijven cybersecurity serieus nemen en maatregelen nemen om risico’s te verminderen.
Wat zijn de volgende stappen voor organisaties?
Om te voldoen aan de NIS2-richtlijn moeten organisaties een audit ondergaan die door de overheid wordt uitgevoerd. Daarmee moeten ze aantonen dat ze aan de slag gaan met de procesprocedures voor het securitybeleid. Dat betekent onder andere het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) dat risicobeheer, beveiligingsprocessen en -controles omvat en het opstellen van een incidentresponsplan.
Om bedrijven te helpen, heeft de rijksoverheid de NIS2-Quickscan gelanceerd: een hulpmiddel voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de komst van NIS2. Niet zeker of jouw organisatie valt onder de NIS2-richtlijn? Doe dan de NIS2-Zelfevaluatietest.
Leer meer over de NIS2 met een cybersecuritytraining
Wil je je op HBO-niveau ontwikkelen op het gebied van informatiebeveiliging en risicomanagement? Kies dan voor het HBO Programma Security Management. Tijdens dit praktijkgerichte programma van 12 maanden leer je IT succesvol in te zetten bij de beveiliging van informatie en ontwikkel je je tot expert op het gebied van securitymanagement. Wil je je volledig omscholen? Kijk dan eens bij de HBO Bachelor Informatica Specialisatie Security management.