De impact van de CER & NIS2 richtlijn op jouw organisatie

Nieuwe regelgeving

Deze nieuwe regelgeving is een reactie op recente dreigingen gericht op de cruciale infrastructuur van de EU, pogingen die een gevaar vormden voor onze gezamenlijke veiligheid. Reeds in 2020 had de Commissie een voorstel gepresenteerd om de EU-wetgeving met betrekking tot de veerkracht van kritieke entiteiten en de beveiliging van netwerk- en informatiesystemen drastisch te verbeteren.

De inwerking getreden richtlijnen zijn:

1. De Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn)
2. De Richtlijn betreffende de veerkracht van kritieke entiteiten (CER-richtlijn)

De Europese lidstaten hebben tot het einde van 2024 om de richtlijnen te integreren in hun nationale wetgeving. Beide richtlijnen vereisen de implementatie van een zorgplicht en een meldingsplicht, die van toepassing zullen zijn op zowel openbare als private organisaties in specifieke sectoren.

In dit artikel geven wij je in begrijpelijke taal wat de verplichtingen zijn van de CER- en NIS2-richtlijnen en de sectoren waarop ze van toepassing zullen zijn. Dit geeft je de mogelijkheid om een beeld te vormen van de verplichtingen waaraan je als organisatie mogelijk eind 2024 moet voldoen.

Wat is NiS2?

Met de recente ontwikkelingen in technologie, zijn er verhoogde veiligheidsrisico's voor onze samenleving en economie, vooral vanwege een toename van phishing pogingen, malware en ransomware aanvallen en andere cyberdreigingen. Om deze uitdagingen aan te gaan, is er sinds 2020 in de EU gewerkt aan de Network and Information Security (NiS2) richtlijn. Deze is ontworpen om de digitale en economische veerkracht van de lidstaten te verbeteren.

De NiS2-richtlijn houdt zich bezig met risico's die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico's. De implementatie van deze richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NiS2-richtlijn is de opvolger van de eerste NiS-richtlijn, ook bekend als de NiB, die in Nederland in 2016 is geïntegreerd in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

NIS2 voor wie?

De NIS2-richtlijn heeft betrekking op sectoren die al onder de eerste NIS-richtlijn vielen, maar omvat ook een aantal nieuwe sectoren. Hierdoor neemt het aantal publieke en private organisaties dat onder de richtlijn valt toe.

Het opvallende verschil met de eerste NIS-richtlijn is dat organisaties die actief zijn in de eerder genoemde sectoren en die voldoen aan bepaalde criteria, automatisch vallen onder de NIS2-richtlijn. Deze criteria definiëren hen als 'essentiële' of 'belangrijke' entiteiten.

Essentiële sectoren

• Energie
• Transport
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheer van ICT Diensten
• Bankwezen

Belangrijke sectoren

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging/manufacturing

Essentiële entiteiten

Dit zijn organisaties die als kritieke entiteiten worden aangemerkt volgens de CER-richtlijn en automatisch worden geclassificeerd als essentiële entiteiten volgens de NIS2-richtlijn. Deze categorie omvat grote organisaties actief in een sector uit de essentiële sectoren.

Een organisatie wordt als groot beschouwd als het voldoet aan een van de volgende criteria:

• meer dan 250 werknemers of;
• een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

Belangrijke entiteiten

Deze categorie omvat middelgrote organisaties die actief zijn in sectoren die als essentieel of belangrijk worden beschouwd volgens de NIS2-richtlijn. Ze spelen een belangrijke rol in de economische en maatschappelijke stabiliteit van de EU, ondanks dat ze niet als 'kritiek' worden geclassificeerd.

Een organisatie wordt als middelgroot geclassificeerd als het voldoet aan een van de volgende criteria:

• minimaal 50 werknemers of;
• een jaaromzet of balanstotaal van meer dan 10 miljoen euro

Wat betekent NIS2 voor jouw organisatie?

Als je organisatie onder de NIS2-richtlijn valt, zijn er verschillende verplichtingen waaraan je moet voldoen:

• Zorgverantwoordelijkheid - De NIS2-richtlijn introduceert een zorgverantwoordelijkheid, die van entiteiten eist dat ze zelf een risicobeoordeling uitvoeren. Gebaseerd op deze beoordeling dienen ze passende acties te ondernemen om hun diensten zo goed mogelijk te garanderen en de informatie die ze gebruiken te beschermen.
• Rapportageverplichting - De NIS2-richtlijn vereist dat entiteiten incidenten binnen 24 uur rapporteren aan de regelgevende instantie. Dit betreft incidenten die de levering van essentiële diensten aanzienlijk (kunnen) onderbreken. In geval van een cyberincident moet dit ook gemeld worden aan het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en assistentie kan bieden. Criteria die een incident rapporteerbaar maken zijn bijvoorbeeld het aantal personen dat door de storing is getroffen, de duur van een storing en mogelijke financiële verliezen.
• Toezicht - Organisaties die binnen het bereik van de richtlijn vallen, zullen ook onder toezicht komen te staan. Hierbij wordt gecontroleerd of de verplichtingen van de richtlijn, zoals de zorg- en meldingsverplichting, worden nageleefd. Momenteel wordt bepaald welke sectoren onder welke toezichthoudende instantie zullen vallen.

Het niet naleven van de NIS2-richtlijn kan leiden tot aanzienlijke boetes en reputatieschade. Daarom is het essentieel om deze richtlijnen serieus te nemen en te voldoen aan de vereisten.

INBISCO Secure (ISMS) is de alles in één oplossing

Via INBISCO- Secure kunnen we de uitgangspunten met betrekking tot veiligheid vastleggen en ontsluiten. In de vastgestelde Information Security strategie worden het beleid en de randvoorwaarden geschetst voor een veilige werkwijze. Rekening houdend met deze randvoorwaarden, wordt in het Information Security Management System (ISMS) de werkwijze middels processen en werkinstructies, in combinatie met alle relevante (beleids) documenten vastgelegd. Processen en documenten zijn nu veilig opgeslagen in het ISMS en kunnen op een eenvoudige manier gedeeld worden met de organisatie.

Monitoring, analyse en verbeteren (issuemanagement) 

De opvolging van de diverse Information Security dossiers, met de daarbij behorende acties, kunnen op een eenvoudige wijze gemonitord worden. Welke dossiers staan nog open? Welke status hebben de acties en gaat de afhandeling volgens afspraak? Dit zijn onderwerpen die via het dashboard van onze software eenvoudig te managen zijn. Alle relevante informatie en documentatie wordt gecentraliseerd opgeslagen en is eenvoudig te benaderen en in te zien.

De vastgelegde data kan via instelbare rapportages en grafieken snel worden beoordeeld en geanalyseerd. Na de analyse heeft u direct inzicht in de verbetermogelijkheden van uw organisatie en kunnen de verbeteracties in gang worden gezet. Dit is een terugkerend proces; de veiligheid van informatie wordt continue gemonitord, en indien mogelijk, verhoogd.

Weten wat INBISCO - Secure voor jouw organisatie kan betekenen?

Plan adviesgesprek

Wat is CER?

Het begrip van CER, De Critical Entities Resilience (CER)-richtlijn, die tegelijk met de NIS2-richtlijn is geïntroduceerd, heeft tot doel de veerkracht van kritieke entiteiten te verbeteren tegen fysieke bedreigingen.

Deze richtlijn is van toepassing op zowel publieke als private organisaties die actief zijn in sectoren die essentieel zijn voor het behoud van vitale maatschappelijke functies, gezondheid, veiligheid, beveiliging, economisch welzijn of sociaal welzijn van de burgers.

De impact van deze nieuwe richtlijnen kan aanzienlijk zijn, afhankelijk van de omvang en aard van je organisatie. Het is daarom essentieel om een duidelijk begrip te hebben van wat deze richtlijnen inhouden en hoe je aan de eisen kunt voldoen.

Welke sectoren en organisaties vallen onder de CER-richtlijn?

De richtlijn betreft een diversiteit aan sectoren, zoals energie, transport, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur en financiële dienstverlening, onder anderen. Zowel overheidsorganisaties als private instellingen binnen deze sectoren kunnen onder de reikwijdte van de CER-richtlijn vallen.

Het is essentieel dat organisaties die binnen deze sectoren opereren, zich bewust zijn van de implicaties van de CER-richtlijn en de vereiste maatregelen implementeren om aan de voorschriften te voldoen. Dit is niet alleen om te voldoen aan de wettelijke eisen, maar ook om de veerkracht van de organisatie te verbeteren en om te kunnen blijven functioneren in het geval van bedreigingen.

Hoe kunnen organisaties zich goed voorbereiden?

Het is cruciaal voor organisaties die onder de CER- & NIS2 richtlijn vallen om proactieve maatregelen te nemen en zich voor te bereiden. 

1. Een van de eerste stappen is het begrijpen van de volledige omvang van de richtlijn en hoe deze van toepassing is op de organisatie. Dit omvat het bestuderen van de richtlijn zelf, evenals het verkrijgen van juridisch en technisch advies indien nodig.
2. Vervolgens moeten organisaties risicobeoordelingen uitvoeren om potentiële bedreigingen te identificeren en maatregelen te plannen om deze aan te pakken. Dit zou kunnen betekenen dat ze hun beveiligingsprotocollen moeten bijwerken, technologie moeten upgraden of noodplannen moeten ontwikkelen.
3. Verder is het belangrijk om systemen te hebben voor het melden van incidenten. Organisaties moeten ook bereid zijn om deel te nemen aan samenwerkingsbeoordelingen om hun beveiligingsmaatregelen en -protocollen te verbeteren.
4. Het uiteindelijke doel van deze voorbereiding is niet alleen om aan de CER-richtlijn te voldoen, maar ook om de veerkracht van de organisatie te versterken, zodat ze effectief kunnen reageren op eventuele bedreigingen en kunnen blijven functioneren ondanks mogelijke onderbrekingen.