NIS2-richtlijn: Wat je moet weten
NIS2-richtlijn: Wat je moet weten
Wat is de NIS2-richtlijn?
De Network and Information Security directive, beter bekend als de NIS2-richtlijn, is een vernieuwde versie van de oorspronkelijke NIS-richtlijn. Deze door de Europese Unie (EU) vastgestelde richtlijn is bedoeld om de cyberbeveiliging en weerbaarheid van belangrijke diensten binnen de EU-lidstaten te versterken. De NIS2-richtlijn breidt het toepassingsgebied uit door meer sectoren op te nemen en stelt strengere beveiligings- en meldingsvereisten voor incidenten. Momenteel wordt de NIS2-richtlijn vertaald naar Nederlandse wetgeving. (Bron)
De afgelopen jaren hebben ontwikkelingen zoals de COVID-19-pandemie, de oorlog in Oekraïne, toenemende cyberdreigingen en de impact van klimaatverandering de noodzaak voor versterkte digitale weerbaarheid onderstreept. Sinds 2020 werkt de EU aan de NIS2-richtlijn om deze uitdagingen aan te pakken en de weerbaarheid van Europese lidstaten te verbeteren.
De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Dit moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties in de EU. Het is de opvolger van de eerste NIS-richtlijn, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Welke verplichtingen schrijft de NIS2-richtlijn voor?
Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om de continuïteit van hun diensten te waarborgen en de gebruikte informatie te beschermen. Voor overheidsorganisaties omvat dit de Baseline Informatiebeveiliging Overheid (BIO) 2.0. In de zorgsector sluit dit aan bij de verplichte NEN 7510-normen. Deze verplichtingen komen sterk overeen met maatregelen uit ISO 27001/2, zoals het opzetten van een Information Security Management System (ISMS) en het implementeren van risico-gebaseerde beveiligingsmaatregelen. (Bron)
Meldplicht: Incidenten die de continuïteit van dienstverlening aanzienlijk kunnen verstoren, moeten binnen 24 uur gemeld worden bij de toezichthouder. Cyberincidenten moeten ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat hulp en bijstand kan bieden. De meldplicht vereist dat organisaties snel en effectief reageren op incidenten, wat ook overeenkomt met de eisen uit ISO 27001/2 voor incidentmanagement. (Bron)
Toezicht: Organisaties die onder de richtlijn vallen, krijgen verplicht toezicht. Een onafhankelijke toezichthouder controleert de naleving van de richtlijn, zoals de zorg- en meldplicht. Voor overheidsorganisaties is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder. Deze structuur van onafhankelijk toezicht is vergelijkbaar met de vereisten van ISO 27001/2 voor audits en continue verbetering. (Bron)
Voor welke instanties geldt de NIS2?
De NIS2-richtlijn geldt voor sectoren die al onder de eerste NIS-richtlijn vielen en enkele nieuwe sectoren. Dit omvat niet alleen overheidsorganisaties, maar ook de zorg- en welzijnssector. Diensten binnen deze sectoren moeten voldoen aan de NIS2-verplichtingen, waarbij enkele uitzonderingen mogelijk zijn voor overheidsorganisaties die activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
Voordelen van een externe FG voor zorgorganisaties
Er zijn verschillende voordelen verbonden aan het aanstellen van een externe FG in plaats van een interne FG voor zorgorganisaties. Lees er meer over in ons e-boek. Download gratis, klik hier >>
Voorbereiding op de NIS2-richtlijn
Organisaties in de overheid en zorg- en welzijnssector moeten voldoen aan bestaande beveiligingsnormen zoals de BIO of NEN 7510. De NIS2-richtlijn introduceert aanvullende maatregelen die momenteel nog niet in deze normen zijn opgenomen. Het ministerie van BZK heeft samen met koepelorganisaties een mapping gepubliceerd van NIS2-maatregelen ten opzichte van bestaande normen zoals NEN-EN-ISO/IEC 27002. (Bron)
Het beschermen van informatie, of dat nu persoonsgegevens zijn of iets anders, doe je door te kijken naar de bedreigingen, de risico’s, en vervolgens maatregelen te nemen om die risico’s onder controle te krijgen. Het is daarom noodzakelijk, en door de NIS2 (en de AVG) verplicht, dat organisaties een risicoanalyse uitvoeren van digitale dreigingen en op basis daarvan maatregelen nemen om deze risico’s te beheersen. Platforms zoals het Digital Trust Center en het Nationaal Cyber Security Centrum bieden nuttige tips en hulpmiddelen om organisaties voor te bereiden op de NIS2-richtlijn. (Zie ook of deze link)
AVG Compleet
AVG Compleet ondersteunt organisaties, ook in de zorg- en welzijnssector, bij het uitvoeren van risicoanalyses, maar ook bij de implementatie van ISO 27001, NEN 7510 en de NIS2-maatregelen. Door onze expertise kunnen wij organisaties in de zorg, welzijn en overheid helpen bij het voldoen aan de nieuwe regelgeving en het versterken van hun digitale weerbaarheid.
Leer meer over de NIS2 tijdens onze trainingsdagen
Lees ook:
AVG Compleet en KJC Management bundelen krachten
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.
DPIA en de rol van de Functionaris Gegevensbescherming: Alles wat je moet weten
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.
Wat is het verband tussen een verwerkersovereenkomst en een DPIA?
Als bestuurder in de zorg wil je de risico’s op problemen met gegevensbescherming voorkomen. Toch ervaren wij dat het vaak mis gaat.