NIS2: Ook impact op uw organisatie

Ketenverantwoordelijkheid uitgelegd.

Tegen het einde van 2024 zal de vernieuwde Europese richtlijn voor ‘Network and Information Security’, bekend als NIS2, worden geïntegreerd in de Nederlandse wetgeving. In het licht van het groeiende belang van cybersecurity, zal deze bestaande wet worden versterkt met strengere vereisten en zal deze worden uitgebreid naar een groter aantal bedrijfssectoren. Maar wat zijn de gevolgen van deze veranderingen en hoe kunnen bedrijven zich hier nu al op voorbereiden?

Wat houdt NIS2 in?

NIS2, de opvolger van de eerste NIS-richtlijn die in 2016 in Nederland werd geïmplementeerd als de Wet beveiliging netwerk- en informatiesystemen (Wbni), is een Europese richtlijn die gericht is op de beveiliging van netwerk- en informatiesystemen. Het hoofddoel van NIS2 is om organisaties binnen de Europese Unie digitaal weerbaarder te maken, de algehele cybersecurity te verbeteren en de samenleving beter te beschermen tegen cybercriminaliteit.

Er zijn drie belangrijke verschillen tussen de NIS2 en NIS1 richtlijnen.

1. Toepassingsgebied: Één van de belangrijkste verschillen tussen NIS2 en NIS1 is de criteria voor het bepalen van welke organisaties onder de richtlijn vallen. Terwijl NIS1 zich voornamelijk richtte op bepaalde soorten organisaties, zoals aanbieders van essentiële diensten en digitale dienstverleners, heeft NIS2 de reikwijdte uitgebreid om een breder scala aan organisaties te omvatten. Dit betekent dat meer organisaties nu verplicht zijn om aan bepaalde beveiligingsnormen te voldoen.

2. Ketenbeveiliging: NIS2 legt ook meer nadruk op de beveiliging van de keten. Dit betekent dat niet alleen de NIS2 organisaties zelf, maar ook hun toeleveranciers moeten voldoen aan bepaalde digitale veiligheidsnormen. Wellicht is uw organisatie op basis van definitie niet direct NIS2 plichtig, toch worden de effecten daarvan direct voelbaar vanuit uw toeleveranciers en afnemers waarvoor dit geldt. Dit is een belangrijke uitbreiding van de verantwoordelijkheid voor de beveiliging van netwerk- en informatiesystemen, en erkent dat zwakke punten in de beveiliging ook in de toeleveringsketen kan liggen.

3. Toezicht en sancties: Er zal er een meldplicht gelden in geval van cyberincidenten. Daarnaast zal er strenger toezicht gehouden worden op de NIS2 organisaties, periodiek of na incidenten. Wanneer de richtlijn niet nageleefd wordt worden er boetes geriskeerd die kunnen oplopen tot 10 miljoen euro op 2% van hun omzet. NIS2 plichtige organisaties zullen hun directe leveranciers contractueel gaan verplichten om aan de basisbeveiligingseisen te gaan voldoen. 

Ook branches die niet binnen de NIS2 regelgeving vallen, gaan impact ervaren door ketenverantwoordelijkheid

Veel organisaties zijn zich nog niet volledig bewust van de significante nadruk die de NIS2-regelgeving legt op de ‘ketenverantwoordelijkheid’ en het effect die dit gaat hebben voor hun bedrijfsvoering. Het is cruciaal om te begrijpen dat toeleveranciers en partners die samenwerken met organisaties die onder de NIS2-regelgeving vallen, automatisch ook aan deze regelgeving moeten voldoen. Dit betekent dat zij dezelfde cybersecuritymaatregelen moeten implementeren en handhaven als de primaire organisatie. In de infographic hierna hebben we de ketenverantwoordelijkheid voor u gevisualiseerd.

NIS 2 Ketenverantwoordelijkheid infographic

Deze verantwoordelijkheid strekt zich uit over de gehele toeleveringsketen, en erkent dat elke schakel in de keten een potentiële bron van risico vormt. Het is daarom essentieel dat NIS2 organisaties een proactieve houding aannemen en hun partners zorgvuldig selecteren op basis van hun vermogen om aan de NIS2-standaarden te voldoen. Bovendien moeten NIS2 organisaties transparante communicatiekanalen opzetten en onderhouden met hun leveranciers om ervoor te zorgen dat alle betrokken partijen op de hoogte zijn van de vereisten en hun verplichtingen kennen.

Indien NIS2 organisaties nalaten om tijdig actie te ondernemen en hun toeleveringsketen niet adequaat beveiligen, kunnen de gevolgen aanzienlijk zijn. Niet alleen kunnen ze te maken krijgen met financiële verliezen, maar ook met reputatieschade, juridische gevolgen, en het verlies van klantvertrouwen. Het is daarom van groot belang dat organisaties zich bewust zijn van de ketenverantwoordelijkheid die de NIS2-regelgeving met zich meebrengt en dat zij de nodige stappen ondernemen om volledige naleving te garanderen.

Door een risicoanalyse uit te voeren en een robuust cybersecuritybeleid te implementeren, kunnen organisaties zichzelf en hun partners beschermen tegen de toenemende dreiging van cyberaanvallen. Het is een investering die niet alleen de veiligheid van de organisatie waarborgt, maar ook bijdraagt aan de algehele digitale veiligheid van de Europese Unie.

Voorbeeld scenario van ketenverantwoordelijkheid

Om het concept van ketenverantwoordelijkheid verder te verduidelijken geven we hieronder een voorbeeldscenario:

Voorbeeld scenario: Een toonaangevende fabrikant van halffabrikaten, “MetaalWerken B.V.”, levert essentiële componenten die nodig zijn voor de infrastructuur van “EnergieNet B.V.”, een groot energiebedrijf dat onder de NIS2-regelgeving valt. Deze componenten zijn cruciaal voor het onderhoud en de uitbreiding van het energienetwerk, wat direct invloed heeft op de betrouwbaarheid en veiligheid van de energievoorziening.

Als leverancier van “EnergieNet B.V.” moet “MetaalWerken B.V.” voldoen aan strikte beveiligingsnormen om de integriteit van de halffabrikaten en bijbehorende communicatiestromen te waarborgen. Dit houdt in dat “MetaalWerken B.V.” niet alleen fysieke beveiligingsmaatregelen moet treffen, zoals toegangscontrole en beveiliging van de productiefaciliteiten, maar ook cyberbeveiligingsmaatregelen moet implementeren om de bijbehorende informatiestromen te beschermen.

De ketenverantwoordelijkheid vereist dat “MetaalWerken B.V.” regelmatig beveiligingsaudits ondergaat en certificeringen behaalt die aantonen dat hun beveiligingspraktijken voldoen aan de NIS2-standaarden. Dit zorgt ervoor dat de informatiestromen tussen beide partijen, vrij zijn van kwetsbaarheden die de energie-infrastructuur zouden kunnen laten stil liggen.

Wat zijn de verplichtingen onder NIS2?

De belangrijkste verplichtingen in NIS2 zijn de zorgplicht en de meldplicht. 

De zorgplicht houdt in dat organisaties verplicht zijn om zelf een risicoanalyse uit te voeren en passende maatregelen te nemen om uw netwerk en informatie te beschermen en de continuïteit te waarborgen. Dit moet u ook kunnen aantonen. In het kader van ketenverantwoordelijkheid, moet u er ook voor zorgen dat uw leveranciers en partners aan deze zelfde verplichtingen voldoen. Dit betekent dat u moet controleren of zij ook een risicoanalyse uitvoeren, passende maatregelen nemen en in staat zijn om incidenten binnen 24 uur te melden.

Daarnaast is er een meldplicht. Incidenten moeten worden gemeld bij de toezichthouder. De overheid heeft een coördinerende rol om vanuit de meldingen informatie te delen en te waarschuwen. In het kader van ketenverantwoordelijkheid, kan dit ook betekenen dat u een rol heeft in het delen van informatie en waarschuwingen met uw leveranciers en partners.

Hoe wordt NIS2 gehandhaafd?

Bedrijven en organisaties moeten in eerste instantie zelf beoordelen of ze onder de NIS2-richtlijn vallen. Er is geen aanwijzing of registratie door de overheid. NIS2 legt wel toezicht en handhaving vast. Essentiële bedrijven worden actief gecontroleerd op hun beveiligingsstrategie en belangrijke bedrijven alleen als er bewijzen of aanwijzingen zijn dat zij zich niet houden aan de NIS2-verplichtingen. Als u bewust of onbewust nalatig bent, kunnen de boetes oplopen tot 10 miljoen. Ook nieuw is dat bestuurders in essentiële sectoren hoofdelijk aansprakelijk kunnen worden gesteld, wanneer zij de zorgplicht niet nakomen.

Wacht niet af, maar ga al aan de slag

Het is belangrijk om niet te wachten tot eind 2024 om uw digitale beveiliging op orde te krijgen. Het is goed om nu al na te gaan of uw bedrijf onder NIS2 valt; direct als essentieel of belangrijk bedrijf, of indirect als leverancier in de keten. Maak in ieder geval een risicoanalyse, zorg dat uw basisbeveiligingsmaatregelen op orde zijn en stel een herstelstrategie op. Als u hulp nodig heeft bij cybersecurity en NIS2, staat OfficeGrip klaar om u te helpen met praktische oplossingen.

Is uw organisatie voorbereid op de NIS2 wetgeving?

Doe het Self Assessment en ontdek het zelf!

Doe het NIS2 Self Assessment en ontdek in hoeverre u al voldoet.