Ben jij al NIS2-ready?

Voor veel organisaties betekent dat een verandering in aanpak. Security is niet langer iets dat alleen binnen de IT-afdeling speelt. Het vraagt om duidelijke processen, heldere afspraken over incidentmeldingen en meer aandacht voor verantwoordelijkheden binnen de organisatie. In veel organisaties komt de uitwerking daarvan uiteindelijk bij IT- en securityteams terecht.
 
Maar wat houdt de NIS2-richtlijn precies in? En wat verandert er nu daadwerkelijk voor organisaties en voor mensen die dagelijks met IT en security werken?

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Security Directive, vaak aangeduid als NIS2 directive) volgt de eerdere NIS-wetgeving uit 2016 op. Waar de eerste richtlijn voor een kleinere groep organisaties gold, wordt de reikwijdte nu breder en zijn de eisen concreter geworden.

Het doel is eenvoudig: organisaties moeten beter voorbereid zijn op digitale verstoringen. Dat betekent risico’s kennen, maatregelen nemen en kunnen aantonen dat de beveiliging structureel is ingericht.

In de praktijk gaat het minder om nieuwe technologie, maar meer om volwassenheid. Veel organisaties hebben beveiligingsmaatregelen al deels ingericht, maar niet altijd als samenhangend geheel. NIS2 dwingt organisaties om daar opnieuw naar te kijken.

Voor wie geldt NIS2? De richtlijn is van toepassing op organisaties in sectoren die een belangrijke rol spelen in de samenleving, waaronder:

• Energie
• Transport
• Bankwezen en financiële marktinfrastructuur
• Gezondheidszorg
• Drink- en afvalwater
• Digitale infrastructuur en ICT-dienstverlening
• Overheid

Toch ontkomen ook andere organisaties er niet aan, bijvoorbeeld doordat zij samenwerken met partijen die wel onder de richtlijn vallen.

Waarom is NIS2 belangrijk?

Cyberincidenten hebben steeds vaker directe gevolgen voor dienstverlening en bedrijfscontinuïteit. Een systeem dat uitvalt of gegevens die niet beschikbaar zijn, raken al snel meerdere processen tegelijk. De impact is daardoor groter dan alleen een technisch probleem.

Daarom verschuift onder NIS2 de verantwoordelijkheid nadrukkelijk naar het bestuur. Cybersecurity kan niet langer worden afgeschoven op IT of externe partijen: bestuurders moeten actief toezien op maatregelen en zijn verantwoordelijk voor de naleving. Deze bestuurlijke verantwoordelijkheid is expliciet opgenomen in de richtlijn, onder meer in artikel 18.

Naast techniek wordt documentatie belangrijker, net als het vastleggen van keuzes en het werken volgens afgesproken processen. Denk aan het registreren van incidenten of het uitvoeren van risicoanalyses die later gecontroleerd kunnen worden. Want wat als er een storing of beveiligingsincident is waarbij de systemen tijdelijk niet beschikbaar zijn? Zonder duidelijke procedures is vaak onduidelijk wie het incident meldt en welke stappen moeten worden genomen.

NIS2-eisen voor organisaties

Hoewel de exacte invulling per sector verschilt, komen een aantal onderdelen vrijwel altijd terug. Deze onderdelen vormen in de praktijk vaak de basis van een NIS2-checklist voor organisaties.

• Risicobeheer
  Organisaties moeten risico’s voor netwerken en informatiesystemen structureel in kaart brengen en beoordelen. Op basis daarvan worden passende maatregelen genomen. Deze verplichting wordt binnen NIS2 vaak aangeduid als de zorgplicht voor organisaties.
• Incidentrapportage
  Beveiligingsincidenten moeten binnen vastgestelde termijnen worden gemeld bij de bevoegde autoriteiten. Dat vraagt om duidelijke procedures en verantwoordelijkheden.
• Technische en organisatorische maatregelen
  Organisaties moeten maatregelen treffen om systemen en gegevens te beschermen. Denk aan toegangsbeheer, monitoring, netwerkbeveiliging, back-upstrategieën en beveiliging van leveranciersketens (ketenbeveiliging).
• Bewustwording binnen de organisatie
  Cybersecurity is niet alleen een technische aangelegenheid. Medewerkers spelen een belangrijke rol in het herkennen van risico’s en het veilig omgaan met informatie.

Onder NIS2 gelden daarnaast verplichtingen rond het melden van incidenten en toezicht op naleving. In Nederland speelt de Rijksinspectie Digitale Infrastructuur (RDI) hierin een belangrijke rol.

NIS2 in de praktijk: hoe bereid je je voor?

Voor veel organisaties begint NIS2 met inzicht. Waar sta je nu en wat moet er nog gebeuren? In de praktijk betekent dit vaak dat organisaties:

• Hun huidige processen en beveiligingsmaatregelen in kaart brengen
• Analyseren waar de inrichting nog niet aansluit op de NIS2-eisen
• Bepalen welke verbeteringen nodig zijn en wie daarvoor verantwoordelijk is
• Samenwerking versterken tussen IT, security en management

Binnen organisaties verschilt de benodigde kennis per rol. Bestuurders en eindverantwoordelijken hebben vooral behoefte aan inzicht in wat NIS2 van hen vraagt, terwijl IT- en securityprofessionals zich richten op de uitvoering en naleving in de praktijk.

Voor organisaties die daar eerst overzicht in willen krijgen, kan een awareness-training helpen. De training NIS2 Awareness - On Demand richt zich op bestuurders en eindverantwoordelijken die hun rol binnen NIS2 beter willen begrijpen en van daaruit vervolgstappen willen bepalen.
 
Voor professionals die zich juist verdiepen in de inhoud en toepassing van de richtlijn, ligt de focus meer op implementatie en compliance. In de training NIS2 Professional werk je aan inzicht in de verplichtingen van de richtlijn en hoe organisaties hier praktisch invulling aan kunnen geven.

NIS2 in de praktijk

De NIS2-richtlijn verschuift cybersecurity van een technisch onderwerp naar een organisatiebrede verantwoordelijkheid. Voor IT-professionals en IT-verantwoordelijken betekent dit dat kennis van risicobeheer, processen en samenwerking steeds belangrijker wordt.