De NIS2 (Network and Information Security Directive 2) is een nieuwe Europese richtlijn die is ontworpen om de cyberbeveiliging binnen de EU te verbeteren. Het bouwt voort op de eerdere NIS-richtlijn, maar stelt strengere eisen aan bedrijven en organisaties om zich beter te beschermen tegen cyberdreigingen. NIS2 is van toepassing op meer sectoren en legt grotere verantwoordelijkheden op het gebied van netwerk- en informatiebeveiliging.
In Nederland betekent de NIS2 dat zowel bedrijven als overheidsinstellingen, vooral in vitale sectoren zoals energie, water, vervoer, gezondheidszorg en financiën, maatregelen moeten nemen om hun digitale systemen te beveiligen. Dit omvat het voorkomen van cyberaanvallen, het snel melden van incidenten en het voldoen aan strengere beveiligingsnormen.
De NIS2-richtlijn legt veel nadruk op ketenverantwoordelijkheid, wat betekent dat bedrijven niet alleen verantwoordelijk zijn voor hun eigen cyberbeveiliging, maar ook voor de beveiliging van hun toeleveranciers en partners in de keten. Dit is een belangrijk verschil met eerdere wetgeving.
Bedrijven moeten ervoor zorgen dat hun leveranciers en andere partijen waarmee ze samenwerken, ook voldoen aan de strenge beveiligingseisen. Een zwakke schakel in de keten kan namelijk risico's vormen voor de hele organisatie. Hierdoor worden niet alleen grote organisaties in vitale sectoren geraakt door de NIS2, maar ook kleinere bedrijven en leveranciers die onderdeel zijn van hun netwerk.
Met de NIS2 kunnen dus veel meer bedrijven getroffen worden door deze verplichtingen, omdat zij indirect betrokken zijn bij kritieke infrastructuur of diensten. Dit zorgt ervoor dat cyberbeveiliging een breder gedeelde verantwoordelijkheid wordt binnen bedrijfsnetwerken en samenwerkingsverbanden.
Verwachting is dat de wet in Nederland uiterlijk 1 juli 2025 ingaat. Tijd dus om in actie te komen!
Let op: landen zoals Duitsland en België zullen waarschijnlijk eerder zijn.
Wanneer is de NIS2 voor jou van toepassing?
De NIS2 is van toepassing als je voldoet aan een van de volgende criteria:
- Essentiële sectoren: Je werkt in een sector die van groot belang is voor de samenleving, zoals: Energie, Vervoer, Bankwezen, Gezondheidszorg, Drinkwatervoorziening en Digitale infrastructuur (bijv. internetproviders).
- Belangrijke sectoren: Je bedrijf is actief in een sector die cruciaal is voor de economie of openbare veiligheid, zoals: Voedselvoorziening, Postdiensten, Chemische industrie, Levensmiddelenindustrie.
- Ketenverantwoordelijkheid: Je bent een toeleverancier of partner van een essentieel of belangrijk bedrijf en draagt daardoor bij aan hun digitale beveiliging.
Daarnaast is er een onderscheid op basis van aantal medewerkers en omzet.
Essentiële entiteiten |
Belangrijke entiteiten |
Vaak grote organisaties |
Vaak middelgrote organisaties |
- Organisaties met minimaal 250 werknemers (fte)
of;
- een jaaromzet van meer dan 50 miljoen euro én een balanstotaal van meer dan 43 miljoen euro
|
- Organisaties met minimaal 50 werknemers (fte)
of;
- een jaaromzet én balanstotaal van meer dan 10 miljoen euro
|
Kritieke entiteiten (CER) en Overheidsinstellingen |
Specifiek aangewezen entiteiten |
Proactief toezicht |
Reactief toezicht |
Klik hier om een zelfevaluatie uit te voeren om te kijken binnen welke categorie jouw bedrijf valt
Verschil tussen Essentiële/belangrijke bedrijven en toeleveranciers
Om te voldoen aan de NIS2-richtlijn moeten bedrijven stappen nemen om hun digitale systemen goed te beveiligen tegen cyberaanvallen en datalekken. Wat precies nodig is, hangt af van de grootte van het bedrijf en het belang ervan voor de samenleving. Hieronder leg ik het uit voor kleine toeleveranciers en voor bedrijven die essentieel of belangrijk zijn.
- (Kleine) bedrijven die toeleverancier zijn
(Kleine) bedrijven die producten of diensten leveren aan grotere organisaties, zoals softwareleveranciers of onderhoudsbedrijven, hebben ook te maken met de NIS2. Zij moeten ervoor zorgen dat ze een basisniveau van digitale beveiliging hebben. Dit kunnen ze doen door:
- Regelmatig risicoanalyses uit te voeren om te ontdekken waar de zwakke plekken in hun systemen zitten.
- Beveiligingsmaatregelen te nemen, zoals een goede back-up, sterke wachtwoorden met MFA, firewalls en antivirussoftware.
- Incidentenplannen klaar te hebben voor het geval er een cyberaanval plaatsvindt, zodat ze snel kunnen reageren.
- Medewerkers trainen in het herkennen van cyberdreigingen, zoals phishing-e-mails.
(Kleine) bedrijven moeten zorgen dat ze niet de zwakke schakel zijn in de keten. Door deze basismaatregelen te nemen, kunnen ze aantonen dat ze voldoen aan de beveiligingseisen van hun klanten.
- Essentiële of belangrijke bedrijven
Essentiële bedrijven, zoals energiebedrijven, banken, ziekenhuizen en andere organisaties die belangrijk zijn voor de samenleving, hebben veel strengere eisen onder NIS2. Zij moeten:
- Strenge beveiligingsmaatregelen nemen om hun digitale systemen te beschermen. Denk hierbij aan het versleutelen van gevoelige gegevens en het invoeren van twee-factor-authenticatie.
- Risicoanalyses uitvoeren en regelmatig hun beveiligingsbeleid evalueren om ervoor te zorgen dat het up-to-date blijft.
- Cyberincidenten snel melden aan de overheid en andere betrokkenen, zoals klanten, als er iets fout gaat. Dit moet vaak binnen 24 uur na ontdekking gebeuren.
- Controle over de hele keten hebben. Dit betekent dat zij moeten controleren of ook hun toeleveranciers en partners voldoen aan de NIS2-eisen.
Essentiële bedrijven dragen dus niet alleen verantwoordelijkheid voor hun eigen beveiliging, maar ook voor de beveiliging van alle partijen waarmee ze samenwerken. Dit kan betekenen dat ze extra eisen stellen aan hun leveranciers.
Samenvatting:
- Kleine toeleveranciers moeten basismaatregelen nemen om hun digitale systemen te beveiligen en kunnen hiervoor risicoanalyses en trainingen inzetten.
- Essentiële bedrijven hebben strengere eisen, zoals geavanceerde beveiligingsmaatregelen, snelle incidentmeldingen en het waarborgen van de beveiliging in de hele keten.
Waar moet ik beginnen?
In essentie is investeren in goede cyberbeveiliging altijd een goed idee. Het zorgen dat je basis op orde is, kan tegenwoordig niet meer ontbreken op de agenda van ieder bedrijf.
Met een goede basis heb je minimaal de volgende onderdelen ingericht:
- Richt risicomanagement in;
Weet in welke systemen, processen en medewerkers je risico’s zitten.
- Pas sterke authenticatie toe;
Gebruik sterke wachtwoorden en MFA op ALLE systemen.
- Bepaal wie toegang heeft tot uw data en diensten;
Zorg voor een overzicht van rechten en (toegangs-)accounts.
- Beperk het aanvalsoppervlak;
Zet geen onnodige poorten open op het internet en maak gebruik van een Firewall.
- Gebruik versleuteling;
Zorg voor goede certificaten op je website en zorg voor encryptie op je mobiele apparatuur.
- Bescherm je organisatie tegen verlies van gegevens;
Richt een goede back-up en evalueer en test deze regelmatig EN train je medewerkers regelmatig m.b.t. risico’s zoals o.a. Phishing.
- Richt Patchmanagement in;
Zorg dat al jouw IT- en OT-systemen voorzien zijn van de laatste security updates.
- Centraliseer en analyseer loginformatie.
Weet wat er gebeurt in de IT-omgeving en evalueer onwenselijke situaties.
Bovenstaande basismaatregelen kunnen ingericht worden met verschillende diensten zoals Managed endpoint, Online Back-up, Wachtwoordmanager, Managed Firewall en Awareness sessies.
De ketting is echter zo sterk als de zwakste schakel en de eerste stap is daarom altijd een goede risico-inventarisatie te doen. Vervolgens bekijk je welke diensten risico’s kunnen verminderen of wegnemen. Belangrijk om te realiseren is dat er niet één dienst of oplossing is, maar dat het altijd een combinatie van meerdere is die samen een sterke ketting vormen.
Als Systemec kunnen wij met verschillende diensten en advies ondersteuning bieden aan het beschermen van jouw belangrijke bedrijfsdata en systemen. Samen kunnen zorgen voor volledig beheerste omgeving waarbij het belangrijk is dat je zelf altijd op hoofdlijnen het overzicht hebt van jouw systemen, data en leveranciers.
Nut en noodzaak van certificeringen
Door de het expliciet benoemen van ketenverantwoordelijkheid zal er vanuit essentiële en belangrijke entiteiten eisen gesteld worden m.b.t. certificering van toeleveranciers.
Certificering voor de NIS2-richtlijn helpt bedrijven aantonen dat hun digitale systemen goed beveiligd zijn tegen cyberaanvallen. Het is een manier om te laten zien dat je voldoet aan de eisen van de NIS2, wat vertrouwen geeft aan klanten en partners.
De noodzaak van certificering hangt af van de grootte en het belang van je bedrijf. Niet elk bedrijf heeft de zwaarste certificering nodig; de maatregelen moeten passend zijn bij de risico’s die je loopt. Voor kleine toeleveranciers kan een basisniveau van beveiliging voldoende zijn, terwijl essentiële bedrijven, zoals energiebedrijven of ziekenhuizen, vaak strengere certificeringen nodig hebben.
Het belangrijkste is dat de certificering aansluit bij de risico’s en verantwoordelijkheden van je bedrijf, zonder onnodig zwaar of kostbaar te zijn. Zo zorg je voor een goede balans tussen beveiliging en efficiëntie.
Een ISO27001, IEC62443 of ISAE zal dus niet direct voor iedereen noodzakelijk zijn, gezien de beperkte beschikbaarheid van auditoren is dit ook onhaalbaar om dit voor alle toeleveranciers te realiseren. Werk jij veel samen met bedrijven die onder de NIS2-richtlijn vallen, dan kan het toch makkelijk zijn een vorm van certificering te behalen, om zo vertrouwen uit te stralen, de discussies te voorkomen of het offerte proces te versnellen. Een alternatief kan zijn het NIS2 Quality mark, deze is op 3 niveaus en altijd passend bij de organisatie.
Als Systemec kijken we graag samen met jou naar de mogelijkheden voor jouw bedrijf.
Samen komen we verder
Samenwerking met je klanten, leveranciers en medewerkers is essentieel voor een goede cyberbeveiliging in de gehele keten. Om samen verder te komen organiseren wij op donderdag 7 november, een ronde tafel sessie waarbij we kijken naar een goede en praktische implementatie van alle noodzakelijke maatregelen en is er ruimte voor onderling overleg en kennisdeling. Voor aanmelding zal nog een aparte uitnodiging gestuurd worden.
Wil jij alvast een stoel reserveren? Neem dan contact op met je accountmanager.