7 jun 2024

Nieuwe NIS2-richtlijn: vrijblijvend karakter informatiebeveiliging verdwijnt

Met de nieuwe Europese NIS2-richtlijn krijgt informatiebeveiliging vanaf oktober 2024 een wettelijke basis. Overheidsorganisaties en bijvoorbeeld ook zorginstellingen gaan onder deze richtlijn vallen. Dit betekent dat het vrijblijvende karakter van informatiebeveiliging verdwijnt. In dit artikel gaat Julius Duijts, managing consultant bij BMC, nader in op de gevolgen voor bestuurders, directies, CISO’s en controllers.

 

De afgelopen jaren hebben gemeenten, waterschappen en andere overheidsorganisaties op basis van de Baseline Informatiebeveiliging Overheid (BIO) gewerkt aan hun informatiebeveiliging. Met ingang van oktober 2024 treedt de Europese NIS2-richtlijn in werking. Hiermee wordt informatiebeveiliging wettelijk geregeld. Demissionair staatssecretaris Van Huffelen van Digitalisering heeft in december 2023 aangekondigd dat alle overheidsorganisaties, inclusief gemeenschappelijke regelingen, onder deze nieuwe richtlijn gaan vallen. Ook zorginstellingen vallen onder de NIS2-richtlijn. Hoewel de richtlijn nog moet worden omgezet naar nationale wetgeving, zijn de hoofdlijnen inmiddels bekend, onder andere door de internetconsultatie van de Cyberbeveiligingswet die op 21 mei 2024 is gestart. Daarom kunnen organisaties nu beginnen met de implementatie van de richtlijn.

 

Wat is de NIS2-richtlijn?

De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. De afgelopen jaren hebben ontwikkelingen als ransomwareaanvallen op publieke organisaties en toenemende internationale spanningen zoals de oorlog in Oekraïne, de noodzaak van digitale weerbaarheid extra duidelijk gemaakt. Ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is zich hiervan bewust. Hij benadrukt in het Cybersecuritybeeld Nederland, zowel in 2023 als in 2022, dat de Nederlandse digitale weerbaarheid achterloopt op de bedreigingen. Deze scheefgroei betekent een vergroot risico op maatschappelijke ontwrichting. De NCTV ziet uitval van vitale processen, zoals de energievoorziening, als een van de belangrijkste risico’s.

Om deze grotere risico’s te beheersen, heeft de Europese Unie eind 2022 de NIS2-richtlijn vastgesteld. Deze richtlijn richt zich op de risico’s die een bedreiging vormen voor netwerk- en informatiesystemen. Het gaat hierbij voornamelijk om cyberbeveiligingsrisico’s. Daarom gaat de Nederlandse wet waarin de richtlijn wordt geïmplementeerd de Cyberbeveiligingswet heten.

 

Wat zijn de gevolgen?

Nieuw in de NIS2-richtlijn is dat directies van overheidsorganisaties (‘de ambtelijke leiding’) een wettelijke taak hebben in het nemen van beveiligingsmaatregelen, binnen de kaders van het politieke bestuur, zoals het college van B en W bij gemeenten. Ook zijn de directies verantwoordelijk voor het toezicht op de uitvoering ervan. Daarnaast moeten ze een opleiding volgen om risico’s te kunnen beoordelen en maatregelen vast te kunnen stellen en te bewaken. Voor controllers en CISO’s betekent dit dat zij hun directies en bestuurders op dit vlak moeten ondersteunen. Voor bestuurders geldt dat zij de randvoorwaarden en kaders (ook budgettaire) moeten scheppen voor de implementatie van beveiligingsmaatregelen.

 

Wat kunt u nu al doen?

De NIS2-richtlijn wordt op dit moment door middel van de Cyberbeveiligingswet vertaald naar Nederlandse wetgeving. Omdat de hoofdlijnen van de nieuwe richtlijn duidelijk zijn, kunnen bestuurders, directies, CISO’s en controllers er al wel mee aan de slag. Denk aan:

  • Planmatig implementeren van de BIO en/of ISO27001 (NEN7510 voor zorginstellingen), inclusief de PDCA-cyclus en alle maatregelen. Borging in de vorm van periodieke verificatie van de maatregelen hoort daar ook bij. BMC begeleidt deze implementaties.

  • Onafhankelijk onderzoek naar de implementatie van beveiligingsmaatregelen en de besturing van informatiebeveiliging in uw organisatie. Zelfevaluaties, bijvoorbeeld in het kader van ENSIA, geven niet altijd een accuraat beeld van de situatie. BMC voert deze onafhankelijke onderzoeken voor tal van overheidsorganisaties uit.

  • Penetratietest op uw externe en interne ICT-infrastructuur en -applicaties. Hiermee toetst u de effectiviteit van uw (technische) beveiliging. BMC voert penetratietests uit in samenwerking met onze CCV-Keurmerk gecertificeerde partner.

  • Opleiding van directies en bestuurders, conform de eisen van de NIS2-richtlijn. BMC biedt hiervoor een passende training aan, die ook in-company kan worden gegeven. Daarmee weten directies en bestuurders wat van hen en hun organisatie wordt verwacht en kunnen zij hun wettelijke verantwoordelijkheid nemen: Cyberveiligheid volgens NIS2 voor bestuurders

 

 

Meer informatie?

Meer weten over de NIS2-richtlijn en de gevolgen voor uw organisatie? Benieuwd naar hoe BMC u kan helpen met de implementatie? Neem voor meer informatie of een vrijblijvend gesprek contact op met Julius Duijts.

DIGITALISERING BLOG DATA-EN-DIENSTVERLENING