NIS2-richtlijn gaat cybersecuritymaatregelen verplichten

Waarom? Hackers die zich richten op grote bedrijven vallen vaak eerst kleine bedrijven aan die in connectie staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt. De nieuwe Europese richtlijn, NIS2, lost dus het onveiligheidsprobleem in de keten op. 

NIS2 heeft grote gevolgen. Het niet naleven ervan betekent namelijk een risico op een forse boete, want men gaat streng handhaven via proactieve controles. Dus niet na meldingen of incidenten maar vooraf. Het belang is immers groot.

De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijn op te nemen in nationale wetgeving. Zo moet een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Meer informatie over welke verplichtingen de NIS2-richtlijn voorschrijft en voor welke sectoren ze gaan gelden, is te vinden op de website van het Digital Trust Center.

Er is op dit moment is nog niet duidelijk of corporaties direct onder de essentiële en belangrijke sectoren vallen.

Het proces om te voldoen aan NIS2 gaat met uitdagingen gepaard en er zijn dan ook een aantal misvattingen over.

1. NIS2 is puur een IT-zaak
   Een misverstand. NIS2 raakt alle facetten van een organisatie. Terwijl de IT-afdeling een centrale rol speelt in risicomanagement en technologische toepassingen, dragen directie en management de verantwoordelijkheid voor de continuïteit van de organisatie en haar informatiesystemen. Zaken zoals beleidsvorming, budgettering en zelfs HR-aangelegenheden vallen hier ook onder.
2. Via NIS2 heeft de overheid inzage in alle bedrijfsinformatie
   Niet correct. Onder NIS2 zijn er expertisecentra door de overheid aangewezen, die als taak hebben kennis te delen en advies te geven. Alleen bij het vaststellen van een NIS2-incident is er een meldingsverplichting, deze gaat voornamelijk om technische details.
3. NIS2 implementeren is een kostbare en langdurige taak
   Dit hoeft niet altijd het geval te zijn. Organisaties die reeds volgens bepaalde IT-standaarden opereren, hebben mogelijk al een basis gelegd. Toch is het van belang om processen en technische aanpassingen goed te documenteren en periodiek te evalueren.
4. NIS2 zal resulteren in boetes
   Dit kan inderdaad gebeuren. Organisaties die tegen eind oktober 2024 niet volledig voldoen aan NIS2 kunnen boetes tegemoetzien.
5. Het is beter om te wachten op NIS3 dan nu in te stappen in NIS2
   Dit is niet aan te raden. Met NIS2 geven de Europese Lidstaten al aan dat cyberrisico’s serieus genomen moeten worden. Toekomstige aanscherpingen zijn zeker te verwachten, maar het is raadzaam om nu al proactief te handelen.

Het platform Samen Digitaal Veilig helpt Aedes-leden het komende jaar met digitale veiligheid en de voorbereiding op de nieuwe NIS2 richtlijn. 

Het complete pakket van Samen Digitaal Veilig biedt corporaties:

• 1 jaar gratis toegang tot de plus versie van Samen Digitaal Veilig
• Praktische online begeleidingssessies en workshops op maat
• Online trainingsprogramma voor medewerkers (20 leerzame video’s)
• Toetsing van het kennisniveau van medewerkers
• Handige checklists die je inzicht bieden in hoe het staat met jouw digitale veiligheid
• Uitgebreide vragenlijst voor leveranciers. Inclusief feedback en antwoorden
• Voldoen aan de eisen van de meeste cybersecurity verzekeringen
• Een handig dashboard waarop je jouw voortgang kunt zien