NIS2; risico’s en kansen voor bedrijven

Inleiding en verwijzingen naar regelgeving

NIS is een afkorting die staat voor "Netwerk- en informatiebeveiliging".

Met deze afkorting wilde de Europese Gemeenschap verwijzen naar de wetgevende inspanningen om een gestandaardiseerde aanpak van cyberveiligheid in alle EU-lidstaten vast te stellen.

In 2018 werd de eerste Europese verordening, NIS1 (EU-richtlijn 2016/1148), aangenomen; deze werd op nationaal niveau omgezet bij wetsbesluit nr. 65 van 18 mei 2018.

Het NIS-besluit voorzag ook in de vaststelling van een „nationale cyberbeveiligingsstrategie“ door de oprichting van het Italiaanse CSIRT (Computer Security Incident Response Team), dat technische taken heeft op het gebied van preventie, respons en monitoring van cyberincidenten, in samenwerking met Europese CSIRT’s.

NIS1 werd vervolgens vervangen door NIS2 (EU-richtlijn 2022/2555); deze richtlijn is op nationaal niveau omgezet bij wetsbesluit nr. 138 van 4 september 2024.

NIS 2 heeft tot doel de tekortkomingen van NIS 1 te verhelpen; deze richtlijn liet de lidstaten bij de omzetting te veel speelruimte, waardoor de doelstelling van harmonisatie niet werd bereikt; bovendien werden bepaalde categorieën entiteiten uitgesloten die vanwege hun belang voor de Europese markt onder de regelgeving hadden moeten vallen.

Bovendien is NIS2 ingevoerd als reactie op de toename van de digitalisering die in alle lidstaten heeft plaatsgevonden en door de pandemie in een stroomversnelling is geraakt; hierdoor is het aanvalsoppervlak voor cyberaanvallen toegenomen zonder dat de beveiligingssystemen evenredig zijn versterkt.

Tot slot is een ander doel van NIS2 om exploitanten van essentiële en belangrijke diensten en aanbieders van digitale diensten te verplichten passende beveiligingsmaatregelen te nemen en incidenten onmiddellijk te melden aan de bevoegde autoriteiten en aan de gebruikers van hun diensten.

De nieuwe richtlijn is afgestemd op andere specifieke Europese sectorale regelgeving, waaronder:

- de richtlijn inzake digitale operationele veerkracht voor de financiële sector (DORA). Dit is de verordening die op 10 november 2022 is goedgekeurd met als doel de veiligheidsmaatregelen ter bevordering van de veerkracht en cyberbeveiliging van de financiële sector te versterken door middel van de invoering van een reeks verplichte veiligheidsmaatregelen die de integriteit van informatie en de cyberbeveiliging van diensten waarborgen;

- de richtlijn inzake de veerkracht van kritieke entiteiten (CER); bedoeld om juridische duidelijkheid te waarborgen en de samenhang tussen de verschillende richtlijnen te bevorderen.

De betrokken bedrijven zijn onderverdeeld in:

• Essentiële sectoren (energie; vervoer; gezondheidszorg; watervoorziening; openbaar bestuur; financiën; ruimtevaart; digitale infrastructuur)
• Belangrijke sectoren (onderzoek; chemische stoffen; levensmiddelen; industriële productie; digitale dienstverleners; postdiensten; afvalverwerking)
• Overheidsinstanties: Centrale overheid (grondwettelijke en grondwettelijk relevante instanties; het kabinet van de premier en ministeries; belastingdiensten; Onafhankelijk ) | Regionale overheid (regio’s en autonome provincies) | Lokale overheid (grootstedelijke gemeenten; gemeenten met meer dan 100.000 inwoners; regionale hoofdsteden; lokale gezondheidsinstanties) | Andere overheidsinstanties (economische regelgevende instanties; economische dienstverleners; verenigingen; welzijns-, recreatie- en culturele dienstverleners; onderzoeksinstanties en -instellingen; experimentele zoöprofilactische instituten) | Andere soorten entiteiten (entiteiten die lokale openbaarvervoersdiensten verlenen; onderwijsinstellingen die onderzoeksactiviteiten uitvoeren; entiteiten die activiteiten van cultureel belang uitvoeren; interne bedrijven; deelnemingen en door de overheid gecontroleerde bedrijven)
• Leveranciers: organisaties die essentiële diensten verlenen aan entiteiten die onder NIS2 vallen, moeten hun digitale beveiliging versterken; zelfs als ze expliciet zijn opgenomen in de verplichte Sectoren.

Inhoud van NIS2

De algemene verplichtingen die voortvloeien uit de inhoud van NIS2 kunnen worden samengevat aan de hand van vier hoofdpijlers:

Bestuur: Het management moet de door de organisatie genomen risicobeheersmaatregelen goedkeuren en de doeltreffendheid ervan in de loop van de tijd beoordelen: regelmatig trainingen volgen over cyberbeveiliging en soortgelijke trainingen aanbieden aan medewerkers.

Risicobeheer: de organisatie moet veiligheids- en netwerkrisico’s beoordelen en passende en evenredige technische, operationele en organisatorische maatregelen nemen om de gevolgen van incidenten voor de afnemers van haar diensten te voorkomen of tot een minimum te beperken.

Bedrijfscontinuïteit: de organisatie moet maatregelen nemen om de bedrijfscontinuïteit te waarborgen (bijvoorbeeld back-ups, een noodherstelplan en een crisisbeheersingsprocedure), met als doel de gevolgen van eventuele onderbrekingen in de dienstverlening tot een minimum te beperken.

Toeleveringsketen: het bedrijf moet de kwetsbaarheden van elke directe leverancier beoordelen, evenals de algehele kwaliteit van de producten en de cyberbeveiligingspraktijken van zijn leveranciers. De beoordeling heeft betrekking op ICT-leveranciers en andere cruciale leveranciers die verstoringen kunnen veroorzaken in de dienst waarvoor de organisatie is opgenomen in de NIS2-perimeter.

Bedrijven zullen daarom moeten kunnen meten en rapporteren over:

• Risicoanalyse en beveiligingsbeleid voor informatiesystemen
• Procedures voor incidentbeheer
• Oplossingen voor bedrijfscontinuïteit (back-up en noodherstel) en procedures voor crisisbeheer en -communicatie
• Beleid inzake de beveiliging van de toeleveringsketen (leveranciers en dienstverleners)
• Beveiliging bij de aanschaf, ontwikkeling, het onderhoud en het beheer van kwetsbaarheden in informatiesystemen en netwerken

NIS2-tijdlijn

Bedrijven en overheidsinstanties zullen een beoordeling moeten uitvoeren om na te gaan of zij al dan niet onder de verplichtingen van de NIS2-richtlijn vallen.

Van 1 december 2024 tot en met 28 februari 2025 moeten bedrijven zich via hun SPID-inloggegevens hebben geauthenticeerd op het ACN-portaal (Nationaal Agentschap voor Cyberveiligheid). Gedurende deze periode moeten gebruikers die zijn aangewezen als /Registratiedienst.

Bedrijven zijn met name verplicht om:

• Geef aan of de entiteit deel uitmaakt van een concern en vermeld de fiscale code van de moedermaatschappij, indien van toepassing.
  
• Geef een overzicht van de gelieerde ondernemingen en vermeld hun fiscale codes.
  
• Vermeld de ATECO-codes die de activiteit van de entiteit beschrijven.
• Geef de relevante sectorale regelgeving van de Europese Unie aan.
• Geef de omzet, de balanscijfers en het aantal werknemers op om de categorie van het bedrijf te bepalen.
• Geef aan tot welke soorten entiteiten het bedrijf behoort.

Uiterlijk op 17 januari 2025 moeten exploitanten van topleveldomeinregisters, aanbieders van DNS- en domeinregistratiediensten, cloud computing-bedrijven, datacenters, aanbieders van content delivery networks, managed service providers, managed security service providers, evenals aanbieders van online marktplaatsen, online zoekmachines en sociale netwerkplatforms zich op het platform hebben geregistreerd.

Uiterlijk op 31 maart 2025 heeft het ACN een lijst opgesteld van essentiële en belangrijke entiteiten op basis van de registraties die via het platform zijn ontvangen.

Tussen 1 april 2025 en 15 april 2025 heeft het ACN de betrokken entiteiten meegedeeld of zij waren opgenomen in de lijst van essentiële of belangrijke entiteiten.

Uiterlijk op 15 april 2025 moesten de entiteiten die de kennisgeving hadden ontvangen, door middel van een specifieke handeling een entiteit aanwijzen die verantwoordelijk is voor het nakomen van de verplichtingen van het besluit.

Daarna zullen de onder de richtlijn vallende entiteiten aan verdere eisen moeten voldoen:

• uiterlijk op 1 januari 2026; meldingsplicht
• uiterlijk op 1 oktober 2026; aan de verplichtingen met betrekking tot administratieve instanties en veiligheidsmaatregelen moet zijn voldaan

Elk jaar zal het ACN de lijst met betrokken entiteiten bijwerken. Bedrijven en overheidsinstanties krijgen elk jaar tussen januari en februari de gelegenheid zich te registreren, indien zij van mening zijn dat zij tot de betrokken entiteiten behoren.

Risico’s voor bedrijven, maar ook kansen

Na de inwerkingtreding van NIS2 en de identificatie van de betrokken exploitanten kunnen de bevoegde autoriteiten toezicht uitoefenen en steekproeven uitvoeren om na te gaan of zij aan de richtlijn voldoen. Bij niet-naleving worden sancties opgelegd aan de betrokken bedrijven.

De boetes zijn zeer hoog: voor grote ondernemingen tot 10 miljoen euro of 2% van de wereldwijde omzet; voor middelgrote ondernemingen tot 7 miljoen euro of 1,4% van de wereldwijde omzet.

Hoewel naleving van de regelgeving een aanzienlijke inspanning en investering van bedrijven vergt, moet ook worden erkend dat de regelgeving zelf bedoeld is om een substantiële oplossing te bieden voor het probleem van cyberaanvallen, waarvoor Italiaanse bedrijven nog steeds zeer kwetsbaar zijn en die zij om imagoredenen vaak verzwijgen. In economische termen bedraagt de geschatte gemiddelde schade per cyberaanval meer dan 2 miljoen euro, ongeacht de omzet van het bedrijf.

Hoe ERA kan helpen bij het beheer van de naleving van NIS2

Ondanks al het bovenstaande – wat zou kunnen doen vermoeden dat bedrijven zeer geïnteresseerd zijn in en betrokken zijn bij cyberbeveiligingskwesties – is het niet ongebruikelijk, met name onder kleine en middelgrote ondernemingen, dat bedrijven weinig of niets Over ons kwesties hebben gedaan en momenteel niet in staat zijn hun positie te bepalen ten aanzien van de risico’s waaraan zij blootstaan, zowel vanuit technisch oogpunt als wat betreft de naleving van de diverse bestaande regelgeving.

Sommige bedrijven pakken het probleem van cyberbeveiliging aan via een verzekering. Verzekeringsmaatschappijen zijn echter vaak terughoudend om dit soort dekking aan te bieden aan bedrijven die nog nooit concrete maatregelen op cybergebied hebben genomen. Dit komt doordat er geen betrouwbare methode bestaat om de schade als gevolg van een cyberaanval nauwkeurig in te schatten. Daarom richten 'NIS2-pakketten' zich op diensten voor cyberrisicobeoordeling, maar laten ze het aan bedrijven over om de nodige maatregelen te nemen om eventuele hiaten aan te pakken. ERA kan een meer uitgebreide dienstverlening bieden, waarbij het vertrouwt op een netwerk van hooggekwalificeerde leveranciers tegen zeer concurrerende commerciële voorwaarden.

In het kort: de ondersteuning van ERA bestaat uit:

• Een beoordeling van de organisatorische en technische structuur van het bedrijf; aan de hand van zelfbeoordelingsvragenlijsten op basis van vooraf vastgestelde indicatoren;
• Voorlichtings- en opleidingsprogramma’s; met basiscursussen voor alle medewerkers en vervolgmodules voor het hoger en middenkader; in overeenstemming met de NIS2-richtlijnen;
• Gespecialiseerde en hoogwaardige tests op het gebied van kwetsbaarheidsanalyses; het aanpakken van phishing en het beoordelen van ransomware-risico’s;
• Begeleiding door toegewijde consultants tijdens de herstelfase na de beoordeling;
• Gespecialiseerde ondersteuning door toegewijde consultants om strategische beslissingen op het gebied van cyberbeveiliging te begeleiden.

Onze oplossing omvat een analyse van de naleving van de NIS2-regelgeving; dit is ongetwijfeld de meest urgente kwestie; maar wij kunnen de klant ook begeleiden bij het projectmanagement van de herstelfase; dat wil zeggen de fase waarin de klant de diverse ‘tekortkomingen’ die tijdens het diagnoseproces zijn vastgesteld, moet verhelpen; en dit is de fase waarin de moeilijkheden van sommige bedrijven het duidelijkst naar voren komen; zowel wat betreft interne vaardigheden als de beschikbaarheid van tijd en middelen.