INBISCO QHSE Community
8 okt 2024
Onlangs zijn er twee belangrijke richtlijnen met betrekking tot kritieke en digitale infrastructuur in werking getreden, die de weerbaarheid van de EU tegen zowel online- als offline-dreigingen, variërend van cyberaanvallen tot criminaliteit en risico's voor de volksgezondheid of natuurrampen, aanzienlijk zullen verbeteren.
Deze nieuwe regelgeving is een reactie op recente dreigingen gericht op de cruciale infrastructuur van de EU, pogingen die een gevaar vormden voor onze gezamenlijke veiligheid. Reeds in 2020 had de Commissie een voorstel gepresenteerd om de EU-wetgeving met betrekking tot de veerkracht van kritieke entiteiten en de beveiliging van netwerk- en informatiesystemen drastisch te verbeteren.
De inwerking getreden richtlijnen zijn:
De Europese lidstaten hebben tot het einde van 2024 om de richtlijnen te integreren in hun nationale wetgeving. Beide richtlijnen vereisen de implementatie van een zorgplicht en een meldingsplicht, die van toepassing zullen zijn op zowel openbare als private organisaties in specifieke sectoren.
In dit artikel geven wij je in begrijpelijke taal wat de verplichtingen zijn van de CER- en NIS2-richtlijnen en de sectoren waarop ze van toepassing zullen zijn. Dit geeft je de mogelijkheid om een beeld te vormen van de verplichtingen waaraan je als organisatie mogelijk eind 2024 moet voldoen.
Met de recente ontwikkelingen in technologie, zijn er verhoogde veiligheidsrisico’s voor onze samenleving en economie, vooral vanwege een toename van phishing pogingen, malware en ransomware aanvallen en andere cyberdreigingen. Om deze uitdagingen aan te gaan, is er sinds 2020 in de EU gewerkt aan de Network and Information Security (NiS2) richtlijn. Deze is ontworpen om de digitale en economische veerkracht van de lidstaten te verbeteren.
De NiS2-richtlijn houdt zich bezig met risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De implementatie van deze richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NiS2-richtlijn is de opvolger van de eerste NiS-richtlijn, ook bekend als de NiB, die in Nederland in 2016 is geïntegreerd in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
De NIS2-richtlijn heeft betrekking op sectoren die al onder de eerste NIS-richtlijn vielen, maar omvat ook een aantal nieuwe sectoren. Hierdoor neemt het aantal publieke en private organisaties dat onder de richtlijn valt toe.
Het opvallende verschil met de eerste NIS-richtlijn is dat organisaties die actief zijn in de eerder genoemde sectoren en die voldoen aan bepaalde criteria, automatisch vallen onder de NIS2-richtlijn. Deze criteria definiëren hen als ‘essentiële’ of ‘belangrijke’ entiteiten.
Essentiële sectoren
Belangrijke sectoren
Dit zijn organisaties die als kritieke entiteiten worden aangemerkt volgens de CER-richtlijn en automatisch worden geclassificeerd als essentiële entiteiten volgens de NIS2-richtlijn. Deze categorie omvat grote organisaties actief in een sector uit de essentiële sectoren.
Een organisatie wordt als groot beschouwd als het voldoet aan een van de volgende criteria:
Deze categorie omvat middelgrote organisaties die actief zijn in sectoren die als essentieel of belangrijk worden beschouwd volgens de NIS2-richtlijn. Ze spelen een belangrijke rol in de economische en maatschappelijke stabiliteit van de EU, ondanks dat ze niet als ‘kritiek’ worden geclassificeerd.
Een organisatie wordt als middelgroot geclassificeerd als het voldoet aan een van de volgende criteria:
Als je organisatie onder de NIS2-richtlijn valt, zijn er verschillende verplichtingen waaraan je moet voldoen:
Het niet naleven van de NIS2-richtlijn kan leiden tot aanzienlijke boetes en reputatieschade. Daarom is het essentieel om deze richtlijnen serieus te nemen en te voldoen aan de vereisten.
Via INBISCO- Secure kunnen we de uitgangspunten met betrekking tot veiligheid vastleggen en ontsluiten. In de vastgestelde Information Security strategie worden het beleid en de randvoorwaarden geschetst voor een veilige werkwijze. Rekening houdend met deze randvoorwaarden, wordt in het Information Security Management System (ISMS) de werkwijze middels processen en werkinstructies, in combinatie met alle relevante (beleids) documenten vastgelegd. Processen en documenten zijn nu veilig opgeslagen in het ISMS en kunnen op een eenvoudige manier gedeeld worden met de organisatie.
De opvolging van de diverse Information Security dossiers, met de daarbij behorende acties, kunnen op een eenvoudige wijze gemonitord worden. Welke dossiers staan nog open? Welke status hebben de acties en gaat de afhandeling volgens afspraak? Dit zijn onderwerpen die via het dashboard van onze software eenvoudig te managen zijn. Alle relevante informatie en documentatie wordt gecentraliseerd opgeslagen en is eenvoudig te benaderen en in te zien.
De vastgelegde data kan via instelbare rapportages en grafieken snel worden beoordeeld en geanalyseerd. Na de analyse heeft u direct inzicht in de verbetermogelijkheden van uw organisatie en kunnen de verbeteracties in gang worden gezet. Dit is een terugkerend proces; de veiligheid van informatie wordt continue gemonitord, en indien mogelijk, verhoogd.
Weten wat INBISCO – Secure voor jouw organisatie kan betekenen?
Het begrip van CER, De Critical Entities Resilience (CER)-richtlijn, die tegelijk met de NIS2-richtlijn is geïntroduceerd, heeft tot doel de veerkracht van kritieke entiteiten te verbeteren tegen fysieke bedreigingen.
Deze richtlijn is van toepassing op zowel publieke als private organisaties die actief zijn in sectoren die essentieel zijn voor het behoud van vitale maatschappelijke functies, gezondheid, veiligheid, beveiliging, economisch welzijn of sociaal welzijn van de burgers.
De impact van deze nieuwe richtlijnen kan aanzienlijk zijn, afhankelijk van de omvang en aard van je organisatie. Het is daarom essentieel om een duidelijk begrip te hebben van wat deze richtlijnen inhouden en hoe je aan de eisen kunt voldoen.
De richtlijn betreft een diversiteit aan sectoren, zoals energie, transport, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur en financiële dienstverlening, onder anderen. Zowel overheidsorganisaties als private instellingen binnen deze sectoren kunnen onder de reikwijdte van de CER-richtlijn vallen.
Het is essentieel dat organisaties die binnen deze sectoren opereren, zich bewust zijn van de implicaties van de CER-richtlijn en de vereiste maatregelen implementeren om aan de voorschriften te voldoen. Dit is niet alleen om te voldoen aan de wettelijke eisen, maar ook om de veerkracht van de organisatie te verbeteren en om te kunnen blijven functioneren in het geval van bedreigingen.
Het is cruciaal voor organisaties die onder de CER- & NIS2 richtlijn vallen om proactieve maatregelen te nemen en zich voor te bereiden.
INBISCO helpt met de voorbereiding
Een gedegen Information Security systeem helpt jou om aan de richtlijn te voldoen. INBISCO NIS2 helpt met risico’s in kaart te brengen, maatregelen implementeren en compliance te borgen. Het platform is al voor 80% ingericht met alle relevante processen, documenten, taken en risicobeoordelingen. Ideaal om snel te starten.
Klanten van INBISCO gebruiken het ISMS onder anderen voor:
In het ISMS worden werkwijzen en processen in combinatie met relevante documenten vastgelegd. De volgende stap is om deze werkwijze vervolgens te managen. Dit gaat doormiddel van het verzamelen van data over de mogelijke aanwezige gevaren en de consequenties hiervan. De geregistreerde data kan vervolgens omgezet worden in acties die toegewezen en uitgevoerd worden door medewerkers. De data kan ook omgezet worden in rapportages en grafieken zodat deze eenvoudig beoordeeld en geanalyseerd kunnen worden.
Wil je weten hoe INBISCO jou kan helpen om aan de NIS2-richtlijn te voldoen? Vraag dan een vrijblijvend één-op-één gesprek aan met onze Security Officer, Maureen de Raad. In een halfuur tijd kan zij jou helpen om de beste stappen voor jouw organisatie te identificeren op het gebied van cybersecurity en het voorbereiden op de richtlijn.
Ben jij een professional op het gebied van kwaliteit, gezondheid, (digitale)veiligheid en milieu? Meld je dan aan voor de INBISCO Community en ontvang waardevolle inzichten, casestudy’s, best practices en de nieuwste ontwikkelingen op het gebied van QHSE. Mis het niet – schrijf je vandaag nog in en verbeter de kwaliteit en veiligheid binnen jouw organisatie.
We beloven je, we zullen je niet stalken en je kunt je op ieder gewenst moment afmelden.
Hier vind je onze nieuwste blogs, evenementen, demomiddagen en klantverhalen. Blijf op de hoogte van de laatste ontwikkelingen en laat je inspireren door praktijkvoorbeelden op het gebied van kwaliteit, gezondheid, veiligheid en milieu.