De nieuwe Europese richtlijn NIS2: wat moet u weten over de implementatie in uw organisatie?

NIS2 stelt nieuwe eisen aan de cybersecurity en digitale weerbaarheid van organisaties. Wat is er nodig voor een succesvolle implementatie van de richtlijn? Joseph Mager, docent van Outvie en werkzaam bij Nederlandse Spoorwegen (NS) als senior information security officer, vertelt wat security professionals te doen staat om de organisatie NIS2-compliant te maken. 

NIS2 cybersecurity richtlijn

De Network and Information Security directive (NIS2-richtlijn), die op 18 oktober 2024 van kracht wordt, is de opvolger van de eerste NIS-richtlijn van de Europese Unie. NIS2, die in 2024 nog wordt omgezet naar een nationale wet, vergroot de reikwijdte van de eerste richtlijn. Een groter aantal sectoren is straks verplicht om te voldoen aan de wetgeving. Daarnaast is NIS2 in verschillende opzichten strenger dan de voorganger. Er komen bijvoorbeeld striktere beveiligingsnormen, een uitgebreidere meldingsplicht bij incidenten, en extra sancties voor overtredingen.

“NIS1 ging vooral over opzettelijke aanvallen op IT-systemen, zoals hacks. NIS2 is van toepassing op allerlei oorzaken die leiden tot IT-falen, zoals overstromingen en menselijke fouten”, licht Joseph Mager toe. Hij is docent van de Outvie-training NIS2 en cybersecurity voor niet-bestuurders en senior Information Officer (ISO) bij de Nederlandse Spoorwegen (NS). “Ook de scope van de meldplicht van NIS1 wordt groter. Het is straks niet voldoende om een incident te melden bij het Nationaal Cyber Security Centrum (NCSC) en de toezichthouder, zoals NIS1 voorschrijft. De organisatie moet ook de getroffen klanten informeren, en daarbij een handelingsperspectief schetsen om veiligheid te waarborgen of te herstellen.”

Ook de sancties van NIS1 worden onder de nieuwe richtlijn aangescherpt. “De toezichthouder kan bij overtredingen van de wet straks forse boetes opleggen, die nog steviger zijn dan de boetes van bijvoorbeeld de Algemene verordening gegevensbescherming (AVG). Daarnaast legt de richtlijn de bestuurlijke aansprakelijkheid vast. Bestuurders en managers moeten adequaat toezicht houden op de cybersecurity en digitale weerbaarheid van de organisatie. Bij tekortkomingen kan de bestuurder te maken krijgen met een boete.”

De noodzaak van NIS2-compliance 

“De noodzaak voor organisaties om serieuze aandacht te besteden aan security is groter dan ooit. De opgave is ook veelomvattender dan de implementatie van de technische en organisatorische beveiligingsmaatregelen die op grond van de AVG passend zijn”, benadrukt Mager. “De beveiligingseisen van AVG gaan over de bescherming van persoonsgegevens. NIS2-vereisten zijn van toepassing op persoonsgegevens én andere data. Het gaat erom dat de organisatie voldoende is beveiligd om verstoringen in de continuïteit van de dienstverlening aan klanten te voorkomen. Daarmee raken NIS2-verplichtingen direct aan de kern van bedrijfsvoering.”

De nieuwe uitdagingen van NIS2  

De Nederlandse wetgeving die wordt opgesteld naar aanleiding van de Europese richtlijn is nog in ontwikkeling. Maar de kaders van NIS2 geven organisaties al handvatten om zich voor te bereiden op de aangescherpte vereisten, aldus Mager. “Een grote uitdaging daarbij dat NIS2 de nadruk legt op een risicogebaseerde aanpak. Daarvoor moet je de juiste afwegingen maken. Je moet dreigingen goed in kaart brengen, en doorvertalen naar de omgang met concrete risico’s. Dat is vaak heel lastig. Je kunt doorgaans goed de impact inschatten van een potentieel incident. Maar het is moeilijk te voorspellen hoe groot de kans is dat er iets misgaat.”

Ook aantoonbaarheid is een complex aspect van NIS2. “Net als bij de AVG geldt ook bij NIS2 een verantwoordingsplicht. Toezichthouders controleren of een organisatie in control is. Maar hoe weet en meet je dat je beveiliging in orde is? Je kunt allerlei maatregelen nemen, maar ze moeten ook in de dagelijkse praktijk goed werken. Bovendien kan de komst van NIS2 ertoe leiden dat je extra security maatregelen invoert. Hoe kan je de toepassing en effectiviteit van alle maatregelen monitoren en toetsen? Zijn de bestaande methoden, technieken en procedures daarvoor geschikt? Hoe kan je op een efficiënte manier aantonen dat je voldoet aan de wettelijke vereisten? Een onderwerp zoals security by design wordt steeds belangrijker.”

Succesfactoren 

Joseph Mager houdt zich al ruim twintig jaar bezig met informatiebeveiliging, en werkte bij onder meer TNO en Siemens. Hij begeleidde de implementatie van NIS1 binnen NS, en is ook betrokken bij de voorbereiding op NIS2. “Zorg dat je goed weet hoe je organisatie er nu voor staat. Bepaal vervolgens je prioriteiten”, adviseert Mager. “Vanuit het perspectief van cybersecurity zijn de vereisten van NIS2 misschien niet heel nieuw. De wet stelt ook geen vreemde eisen. Het is immers heel logisch om als organisatie goed voorbereid te zijn op digitale dreigingen die de dienstverlening aan klanten verstoren. Je kunt de richtlijn daarom zien als een stimulans om zaken te verbeteren waar dat nodig is. Voor bestuurders en managers kan NIS2 een hulpmiddel zijn om risico’s te overzien en om sturing te geven aan instrumenten om de gevolgen van incidenten te verminderen.”

Net als bij NIS1 en de AVG is een vroegtijdige voorbereiding een belangrijke succesfactor voor professionals die aan de slag gaan met NIS2, zegt Mager. “Wacht niet tot de nationale wet er is. Gebruik NIS2 om keuzes te maken over de meest urgente aanpassingen en om de thematiek van cybersecurity extra stevig op de bestuurlijke agenda te zetten.” De beschikbaarheid van capaciteit en expertise is daarbij volgens Mager essentieel. “De implementatie van NIS2 gaat een extra inspanning vragen van verschillende teams, op allerlei niveaus in de organisatie. Informeer bestuurders en managers daarom ook op tijd over de veranderingen die op stapel staan, en leg uit wat hun taken en verantwoordelijkheden zijn.”

Lessen van NIS1 

De tweedaagse training NIS2 en cybersecurity voor niet-bestuurders is speciaal ontwikkeld voor security managers, Chief Information Security Officers (CISO’s), ISO’s, advocaten, bedrijfsjuristen, Data Protection Officers en andere professionals die zijn betrokken bij de digitale weerbaarheid en compliance van de organisatie. In zijn bijdrage deelt Mager de ervaringen en inzichten die NS heeft opgedaan tijdens de implementatie van NIS1, en neemt hij deelnemers mee in de aanpak die nu wordt gevolgd voor NIS2.

“De scope van NIS1 was relatief beperkt, als je kijkt naar de systemen die ervoor aangepast moesten worden. Voor NIS2 is – net als bij de AVG – echt een uitgebreid implementatieprogramma nodig. De impact van NIS2 wordt naar verwachting nog groter dan van de AVG”, zegt Mager over de ervaringen die NS de laatste jaren heeft opgedaan. “We proberen zo veel mogelijk voort te bouwen op maatregelen die op grond van de AVG zijn genomen. Zijn er voor de AVG processen en procedures ingeregeld, bijvoorbeeld voor de meldplicht, die kunnen worden uitgebreid zodat je ook voldoet aan NIS2?”

De komende periode richt het werk van Mager en zijn collega’s zich onder andere op de afstemming met leveranciers. “Hoe gaan onze leveranciers om met informatiebeveiliging? Wat verwachten zij van ons? Het helpt om elkaar actief te bevragen over maatregelen voor cybersecurity, zodat je gezamenlijk efficiëntere oplossingen vindt.”

Vergeet niet dat cultuur, kennis en kunde altijd essentieel zijn voor cybersecurity, zegt Mager. “NIS2 is uiteindelijk een onderdeel van een risicobewuste organisatie. We weten als securityprofessionals natuurlijk dat kennis, houding en gedrag op de werkvloer belangrijke pijlers zijn om risico’s te verminderen. Een succesvolle implementatie van NIS2 betekent in mijn visie dan ook dat je aanhaakt op initiatieven en activiteiten die er al zijn om security awareness in verschillende geledingen van de organisatie te borgen.”