Verplichtingen uit de NIS2 - Cyberbeveiligingswet

In 2025 zal in Nederland de NIS2 geïmplementeerd worden als de nieuwe Cyberbeveiligingswet. In dit artikel zetten we de belangrijkste eisen voor u op een rij.

De Cyberbeveiligingswet richt zich op de weerbaarheid en veerkracht van organisaties met een belangrijke rol in de maatschappij. Het is gericht op het beheersen van risico’s die netwerken en informatiesystem bedreigen en schrijft een minimale set aan maatregelen voor.

Wat zijn de eisen vanuit de Cyberbeveiligingswet?

De NIS2-richtlijn vereist een zorg- en een meldplicht. De zorgplicht omvat onder andere het uitvoeren van risicobeoordelingen, het doorvoeren van risicobeperkende maatregelen en het waarborgen van de bedrijfscontinuïteit. De meldplicht betreft het tijdig melden van incidenten die essentiële diensten (kunnen) verstoren en het krijgen van hulp bij herstel.

Organisaties die moeten voldoen aan NIS2 komen onder toezicht te staan. Dit toezicht beoordeelt de naleving van de verplichtingen uit de richtlijn.  Naast de zorg- en meldplicht wordt ook verwacht dat het bestuur van organisaties een opleiding volgt op het gebied van informatiebeveiliging. Bestuursleden zijn verantwoordelijk en aansprakelijk voor de informatiebeveiliging in hun organisatie. Bij het niet naleven van de Cyberbeveiligingswet kan de overheid een substantiële boete opleggen.

Wat houdt de zorgplicht in?

De zorgplicht verwacht dat de basis cybersecurity op orde is en vereist minimaal:

  1. Een risicoanalyse en beveiliging van informatiesystemen;
  2. Beleid en procedures over incidentenbehandeling;
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  4. Beveiliging van de toeleveranciersketen;
  5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
  7. Basismaatregelen en trainingen op het gebied van cyberbeveiliging;
  8. Beleid en procedures over het gebruik van cryptografie en encryptie;
  9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
  10. Het gebruik van multifactor authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de organisatie.

Het bestuur van de organisatie is eindverantwoordelijk voor het naleven van de zorgplicht. Zij kunnen voor het niet naleven van deze plicht aansprakelijk worden gesteld. Er ligt een actieve rol voor hen weggelegd in het goedkeuren van de voorgenomen maatregelen, het houden van toezicht op de implementatie, het volgen van training om kennis te vergroten en het aanbieden van trainingen aan medewerkers.

Wat zijn de eisen vanuit de meldplicht

De NIS2-richtlijn schrijft voor dat organisaties cyberincidenten binnen 24 uur moeten melden bij de toezichthouder. De meldplicht geldt voor incidenten die de continuïteit van dienstverlening van de essentiële organisatie aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet er ook melding gemaakt worden bij het Computer Security Incident Response Team (CSIRT), die hulp- en bijstand kan leveren.

Factoren die een incident meldenswaardig maken zijn o.a. het aantal personen dat door de verstoring wordt geraakt, de tijdsduur van een verstoring en de mogelijke financiële gevolgen.

Fase

Actie/melding

Deadline

Spoedige melding

•        Aangeven of het incident (vermoedelijk) is veroorzaakt door kwaadwillig handelingen

•        Mogelijk grensoverschrijdend effect

Binnen 24 uur

Incident melding

•        Mogelijke update van de informatie in de spoedige melding

•        Indicatie van het incident, inclusief de ernst en impact

•        Mogelijke indicatoren van bestrijding

Binnen 72 uur

Tussenrapportage

•        Relevante status updates aan autoriteit(en)

Op verzoek van de autoriteit

Eindrapportage

•        Gedetailleerde beschrijving, inclusief ernst en impact

•        Type bedreiging of grondoorzaak

•        De toegepaste en lopende risicobeperkende maatregelen

•        Indien van toepassing, de grensoverschrijdende gevolgen

Binnen 1 maand