NIS2-naleving: wat de EU-richtlijn inzake cyberbeveiliging voorschrijft en hoe u zich hierop kunt voorbereiden

NIS2, de tweede EU-richtlijn inzake netwerk- en informatiesystemen, is op 17 oktober 2024 van kracht geworden; dit was de uiterste datum waarop de lidstaten de richtlijn in nationaal recht moesten omzetten. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn uit 2016 en kent een aanzienlijk breder toepassingsgebied, een reeks meer dwingende beveiligingsverplichtingen en een handhavingsregeling die zo streng is dat niet-naleving een financieel risico op bestuursniveau vormt in plaats van slechts een administratieve kwestie op IT-gebied.

De operationele gevolgen worden momenteel nog in de hele EU in kaart gebracht. De omzetting door de lidstaten heeft plaatsgevonden volgens verschillende tijdschema’s en met uiteenlopende striktheidsniveaus, en de groep van „essentiële“ en „belangrijke“ entiteiten is aanzienlijk groter dan onder NIS1. Voor bedrijven die actief zijn in of verkopen aan de EU is NIS2 geen kwestie voor de toekomst. Het is een huidige wettelijke verplichting, en de bepalingen inzake de toeleveringsketen breiden het toepassingsgebied ervan ruimschoots uit tot buiten de direct genoemde entiteiten.

Deze gids richt zich op de praktische kant van NIS2-naleving. Wat de richtlijn nu precies voorschrijft, voor wie deze geldt, hoe de termijn voor het melden van incidenten in de praktijk werkt, en hoe IT-teams en MSP’s een solide nalevingsprogramma kunnen opzetten. Voor het bredere perspectief van governance op bestuursniveau, inclusief de persoonlijke aansprakelijkheid van het senior management, zie : Of u nu in de EU gevestigd bent of niet, NIS2 is een zaak van het bestuur.

Wat is NIS2?

NIS2 (Richtlijn EU 2022/2555) is de herziene cyberbeveiligingsrichtlijn van de EU, die in december 2022 is gepubliceerd en uiterlijk op 17 oktober 2024 door de lidstaten in nationaal recht moet zijn omgezet. Deze richtlijn vervangt de oorspronkelijke NIS-richtlijn (2016) en kent een ruimer toepassingsgebied, strengere voorschriften en een aanzienlijk krachtigere handhaving.

Het doel van de richtlijn is duidelijk. Het is de bedoeling om het basisniveau van cyberbeveiliging in de hele EU te verhogen, ervoor te zorgen dat kritieke diensten cyberincidenten kunnen weerstaan en zich daarvan kunnen herstellen, en verantwoordelijkheid op leidinggevend niveau te creëren in plaats van cyberbeveiliging louter als een technische aangelegenheid te beschouwen.

De uitbreiding van NIS1 naar NIS2 is aanzienlijk. NIS1 had betrekking op een beperkt aantal essentiële diensten (energie, vervoer, water, gezondheidszorg, digitale infrastructuur). NIS2 strekt zich uit tot 18 sectoren, waaronder de verwerkende industrie, de voedingsmiddelenindustrie, de chemische industrie, de postdiensten, het openbaar bestuur en digitale dienstverleners, en omvat een veel bredere reeks entiteiten binnen elke sector. Nationale omzettingswetgeving kan verder gaan dan de minimumnormen van de richtlijn, wat betekent dat het precieze nalevingsbeeld voor een bepaald bedrijf afhangt van de lidstaat waar het actief is, evenals van de richtlijn zelf.

Voor wie geldt NIS2?

NIS2 deelt de onder de regeling vallende organisaties op basis van hun kriticiteit in twee categorieën in, waarbij voor elke categorie verschillende niveaus van toezicht gelden.

Essentiële entiteiten zijn organisaties in sectoren van groot kritiek belang. Energie (elektriciteit, olie, gas, stadsverwarming, waterstof), vervoer (lucht, spoor, water, weg), het bankwezen, de infrastructuur van de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (internetknooppunten, DNS, TLD-registers, cloudproviders, datacenters, CDN’s, aanbieders van vertrouwensdiensten), ICT-dienstbeheer (managed services managed security services), openbaar bestuur en ruimtevaart.

Belangrijke entiteiten zijn organisaties in andere cruciale sectoren. Post- en koeriersdiensten, afvalverwerking, de productie van cruciale producten (chemicaliën, geneesmiddelen, medische hulpmiddelen, computers, elektronica, voertuigen), voedselproductie en -distributie, digitale dienstverleners (online marktplaatsen, zoekmachines, sociale mediaplatforms) en onderzoeksinstellingen.

Omvangdrempels zijn van belang. NIS2 is in het algemeen van toepassing op middelgrote ondernemingen (50 of meer werknemers of een jaaromzet van 10 miljoen euro of meer) en grote ondernemingen in de betrokken sectoren. Micro- en kleine ondernemingen vallen doorgaans buiten het toepassingsgebied, tenzij zij specifieke diensten van hoog kritieke aard verlenen; in dat geval biedt hun omvang geen bescherming.

MSP’s vallen uitdrukkelijk onder de regeling. NIS2 noemt „aanbieders van managed servicesen „aanbieders van managed security services“ als ICT-dienstverleners die onder de regeling vallen, waarmee het risico in de toeleveringsketen wordt erkend dat ontstaat wanneer een MSP wordt gehackt voor de klanten die deze MSP’s bedienen. De blootstelling in de toeleveringsketen werkt ook in de andere richting. Zelfs een organisatie die zelf niet in een onder de verordening vallende sector actief is, kan via contractuele doorwerkingsclausules te maken krijgen met indirecte NIS2-verplichtingen als zij diensten of producten levert aan entiteiten die onder de verordening vallen.

Wat NIS2 vereist: de tien kernmaatregelen

Artikel 21 van de NIS2-richtlijn verplicht de betrokken entiteiten om „passende en evenredige technische, operationele en organisatorische maatregelen“ te nemen om cyberbeveiligingsrisico’s te beheersen. De richtlijn noemt tien minimale gebieden waarop deze maatregelen betrekking moeten hebben:

1. Risicoanalyse en beleid inzake informatiebeveiliging. Gedocumenteerde risicobeheerprocessen en beveiligingsbeleidsregels, die regelmatig worden geëvalueerd en bijgewerkt.

2. Afhandeling van incidenten. Gedocumenteerde procedures voor detectie, reactie en herstel, met duidelijk omschreven rollen en communicatieprocedures.

3. Bedrijfscontinuïteit. Back-upbeheer, noodherstel en crisisbeheersing: het vermogen om kritieke functies na een incident in stand te houden of snel te herstellen.

4. Beveiliging van de toeleveringsketen. Beoordeling en beheer van beveiligingsrisico’s die uitgaan van leveranciers en dienstverleners, met inbegrip van beveiligingseisen die in leverancierscontracten zijn opgenomen. Dit is de clausule die expliciet betrekking heeft op MSP-relaties.

5. Beveiliging bij de aanschaf, ontwikkeling en het onderhoud van netwerk- en informatiesystemen. Veilige ontwikkelingsmethoden, het omgaan met kwetsbaarheden en beveiligingstests.

6. Beleid en procedures om de doeltreffendheid van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen. Nagaan of de bestaande beheersmaatregelen daadwerkelijk werken. Audits, tests en prestatie-indicatoren.

7. Maatregelen en trainingen op het gebied van cyberbeveiliging. Bewustwording en training voor medewerkers op alle niveaus, niet alleen voor de IT-afdeling.

8. Beleid en procedures inzake het gebruik van cryptografie en, waar nodig, versleuteling. Versleuteling van gegevens tijdens verzending en in rust, wanneer de gevoeligheid daarvan dit rechtvaardigt.

9. Personeelsbeveiliging, toegangsbeheerbeleid en activabeheer. Achtergrondonderzoek, het principe van minimale toegangsrechten en een volledige inventarisatie van bedrijfsmiddelen.

10. Meervoudige authenticatie, continue authenticatie en beveiligde communicatie. MFA voor kritieke systemen en accounts, plus beveiligde spraak-, video- en tekstkanalen.

De tien gebieden vormen een minimum, geen maximum. De formulering „passend en evenredig“ in artikel 21 houdt in dat een onder de richtlijn vallende entiteit elk wezenlijk cyberbeveiligingsrisico moet aanpakken, zelfs als dit niet duidelijk onder een van de tien categorieën valt. In nationale omzettingswetgeving wordt dit soms nog prescriptiever geformuleerd dan in de richtlijn zelf.

Melding van incidenten: de 24-uursregel

De meldingsplicht is, in operationele zin, het onderdeel van NIS2 dat organisaties waarschijnlijk het meest voor verrassingen zal stellen. Het tijdschema is gefaseerd en strak.

Een ernstig incident, gedefinieerd als een incident met aanzienlijke gevolgen voor de dienstverlening, moet in drie fasen worden gemeld. Binnen 24 uur nadat de betrokken entiteit kennis heeft genomen van het incident, moet zij een vroegtijdige waarschuwing sturen naar het relevante nationale CSIRT (Computer Security Incident Response Team) of de bevoegde autoriteit. Dit is een eerste melding. Hiervoor is geen volledig onderzoek vereist, maar de entiteit moet wel weten dat er een incident heeft plaatsgevonden en over een proces beschikken om de vroegtijdige waarschuwing snel genoeg in te dienen om de deadline te halen.

Binnen 72 uur moet de organisatie een uitgebreidere melding van het incident indienen, waarin de aard, de ernst en de geschatte gevolgen worden beschreven, evenals eventuele eerste aanwijzingen voor een inbreuk of beschikbare informatie over de onderliggende oorzaak.

Binnen een maand moet er een eindrapport worden ingediend met een uitgebreide beschrijving van het incident, de onderliggende oorzaak, de genomen maatregelen en eventuele grensoverschrijdende gevolgen.

De 24-uursregel voor vroegtijdige waarschuwing is het punt dat de operationele realiteit doorbreekt voor organisaties zonder 24/7-monitoring. Bedenk eens wat de regel daadwerkelijk vereist. Een ransomware-aanval die op zaterdagochtend om 03:00 uur begint, wordt pas op maandag om 09:00 uur gedetecteerd en beoordeeld, wanneer het kantoor weer opengaat. Maandag om 09:00 uur is de klok voor de vroegtijdige waarschuwing al 30 uur verder, en is de entiteit al 6 uur te laat. De 24-uursregel is in feite een vereiste voor continue monitoring die wordt afgedwongen door een wettelijke deadline in plaats van door controlemaatregelen. Organisaties die vertrouwen op detectie alleen tijdens kantooruren, of op het doorsturen van waarschuwingen die 's nachts in een wachtrij kunnen blijven staan, zullen hier niet betrouwbaar aan voldoen.

Handhaving en sancties

De handhavingsregeling van NIS2 is aanzienlijk strenger dan die van NIS1, waarbij het verschil het duidelijkst tot uiting komt op drie gebieden.

De hoogte van de geldboetes hangt af van het type entiteit. Essentiële entiteiten kunnen boetes krijgen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is. Belangrijke entiteiten kunnen boetes krijgen van maximaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is. Aangezien het maximum is gebaseerd op de wereldwijde omzet en niet op de omzet binnen de EU, kan een multinational met een beperkte aanwezigheid in de EU toch een aanzienlijke boete krijgen.

Het hoger management kan persoonlijk aansprakelijk worden gesteld. Lidstaten kunnen bepaalde personen tijdelijk verbieden leidinggevende functies te bekleden wanneer blijkt dat zij door grove nalatigheid hun NIS2-verplichtingen niet zijn nagekomen. Dit betekent een belangrijke verschuiving, waarbij cyberbeveiliging niet langer louter als een IT-probleem wordt beschouwd, maar de gedetailleerde gevolgen voor het bestuur worden behandeld in het bijbehorende artikel over waarom NIS2 een zaak is voor de raad van bestuur.

De toezichthoudende bevoegdheden zijn ruim. Nationale bevoegde autoriteiten kunnen controles uitvoeren, om informatie en bewijsmateriaal verzoeken, formele waarschuwingen geven en specifieke corrigerende veiligheidsmaatregelen opleggen. Essentiële entiteiten worden op regelmatige basis proactief gecontroleerd. Belangrijke entiteiten worden doorgaans reactief gecontroleerd, naar aanleiding van incidenten of aanwijzingen voor niet-naleving.

Hoe NIS2 zich verhoudt tot AVG, ISO 27001 en DORA

NIS2 staat niet op zichzelf. Het raakt aan andere regelgevings- en normenkaders waaraan organisaties die in de EU actief zijn, vaak al werken.

AVG

Zowel NIS2 als AVG op organisaties die persoonsgegevens verwerken in de EU, en beide hebben betrekking op incidentrespons en organisatorische beveiliging. De 24-uursregeling voor vroegtijdige waarschuwing van NIS2 is strenger dan de 72-uursregeling voor melding van datalekken AVG, en wanneer een incident zowel persoonsgegevens als verstoring van een onder de regeling vallende dienst betreft, lopen beide termijnen parallel. Coördinatie tussen de functionaris voor gegevensbescherming en de incidentresponscoördinator is van groot belang, aangezien hetzelfde incident binnen twee verschillende termijnen aan twee verschillende toezichthouders moet worden gemeld.

ISO 27001

ISO 27001 sluit nauw aan bij NIS2 op het gebied van risicobeheer, incidentafhandeling en bedrijfscontinuïteit. Certificering betekent niet automatisch dat aan de NIS2-eisen wordt voldaan, met name wat betreft sectorspecifieke vereisten en de meldingsplicht binnen 24 uur, maar het biedt wel een solide basis. Organisaties die al gecertificeerd zijn, kunnen doorgaans het grootste deel van hun bestaande ISMS-maatregelen in kaart brengen aan de hand van de tien maatregelen van NIS2, waarbij de resterende hiaten gedocumenteerd worden.

DORA

Instellingen in de financiële sector kunnen onderworpen zijn aan zowel NIS2 als de Digital Operational Resilience Act (DORA). DORA stelt aanvullende eisen aan het ICT-risicobeheer die specifiek zijn voor de financiële dienstverlening, en wanneer beide regelgevingen van toepassing zijn, moeten de beheersmaatregelen zo worden opgezet dat aan beide regelgevingen wordt voldaan zonder dat dit extra werk met zich meebrengt. Het is een veelgemaakte fout bij de implementatie om DORA en NIS2 te behandelen als afzonderlijke nalevingsprogramma’s die op dezelfde beheersmaatregelen draaien.

Voorbereiding op NIS2-naleving: een praktische aanpak

Het werk bestaat uit vijf fasen.

1. Bepaal of de richtlijn van toepassing is en welke lidstaat hierop van toepassing is. Ga na of de organisatie tot een van de betrokken sectoren behoort, of zij aan de omvangdrempel voldoet en welke omzettingswetgeving van welke lidstaat van toepassing is. Voor MSP’s die klanten bedienen die onder de richtlijn vallen, moet worden vastgesteld welke klantcontracten reeds NIS2-verplichtingen bevatten of impliceren.

2. Voer een lacuneanalyse uit aan de hand van de tien maatregelen. Breng de huidige beheersmaatregelen in kaart voor elk van de tien gebieden uit artikel 21. Breng wezenlijke tekortkomingen in kaart, met name op het gebied van 24-uurs detectie van incidenten, de beveiliging van de toeleveringsketen en de dekking door MFA bij kritieke accounts. Dit zijn de drie gebieden waarop de meeste organisaties tekortschieten.

3. Pak eerst de grootste risico’s aan. Het opsporen en melden van incidenten is doorgaans de meest urgente operationele tekortkoming. Het invoeren van meervoudige authenticatie (MFA) voor alle beheerders- en hoogwaardige accounts is de maatregel die het snelst kan worden geïmplementeerd in verhouding tot de mate waarin het risico hiermee wordt verminderd. Het beoordelen van de toeleveringsketen kan meer tijd vergen, maar mag niet worden verwaarloosd; voor veel organisaties ligt het grootste risico op handhavingsmaatregelen in het kader van NIS2 namelijk bij leveranciers die zij nog niet hebben gecontroleerd.

4. Betrek het management hier formeel bij. De bepalingen inzake persoonlijke aansprakelijkheid in NIS2 houden in dat het hoger management deze verantwoordelijkheid niet aan de IT-afdeling kan delegeren en ervan uitgaan dat de zaak daarmee is afgehandeld. Breng de raad van bestuur op de hoogte van de verplichtingen die uit de richtlijn voortvloeien, leg het gesprek vast en zorg ervoor dat het risicobeheerprogramma uitdrukkelijk wordt goedgekeurd. Het vastgelegde engagement van het management vormt op zichzelf al een onderdeel van het bewijsmateriaal inzake naleving.

5. Leg alles voortdurend vast en zorg voor bewijsstukken. NIS2-naleving moet worden aangetoond, er mag niet zomaar van worden uitgegaan. Risicobeoordelingen, beveiligingsbeleidsregels, runbooks voor incidentrespons, opleidingsgegevens, beveiligingsbeoordelingen van leveranciers en bewijzen van de implementatie van MFA moeten allemaal worden vastgelegd en up-to-date worden gehouden. Het audittraject is net zo belangrijk als de beheersmaatregelen zelf.

Compliance Manager GRC de beoordeling van tekortkomingen in het kader van NIS2 en het continue compliancebeheer voor alle tien maatregelen van artikel 21, naast de andere kaders waaraan een organisatie waarschijnlijk werkt (AVG, ISO 27001, CIS Controls, sectorspecifieke normen). Ontdek Compliance Manager GRC voor de operationele kant van het uitvoeren van een NIS2-programma binnen meerdere kaders tegelijk.

NIS2 en MSP’s: toepassingsgebied, toeleveringsketen en doorwerking in contracten

Voor MSP’s brengt NIS2 verplichtingen in twee richtingen met zich mee.

De eerste richtlijn is duidelijk. Managed services managed security services worden in NIS2 aangemerkt als categorieën van ICT-dienstbeheer. Een MSP van enige omvang die actief is in of diensten verleent aan de EU, is zelf – afhankelijk van zijn profiel – een essentiële of belangrijke entiteit en is onderworpen aan dezelfde verplichting om tien maatregelen te nemen en dezelfde 24-uursmeldingsplicht als zijn klanten.

De tweede benadering is indirect, via de bepalingen inzake de toeleveringsketen. Elke klant van de MSP die onder deze regeling valt, is wettelijk verplicht om de cyberbeveiligingsrisico’s die zijn leveranciers met zich meebrengen te beoordelen en te beheersen. In de praktijk vertaalt die verplichting zich in beveiligingsvragenlijsten, verzoeken om bewijsstukken, auditrechten in contracten en vereiste verklaringen. MSP’s die klanten bedienen die onder deze regeling vallen, moeten rekening houden met – en zich voorbereiden op – een aanzienlijke toename van door klanten gestuurde due diligence op het gebied van leveranciersbeveiliging.

De zakelijke kans ligt op hetzelfde vlak als de verplichting. Klanten die moeten aantonen dat hun toeleveringsketen veilig is, dat er MFA wordt toegepast en dat ze over incidentresponscapaciteit beschikken binnen hun eigen omgevingen, hebben een plek nodig waar ze die diensten kunnen inkopen. MSP’s die kunnen aantonen dat ze zelf aan de NIS2-voorschriften voldoen en die managed services aanbieden managed services op het tien-maatregelenkader, zijn goed gepositioneerd om in die vraag te voorzien. Compliance Manager GRC, in combinatie met de beveiligings- en documentatiemogelijkheden Kaseya 365 bredere Kaseya 365 , biedt MSP's de multi-tenant infrastructuur om NIS2-conforme diensten te leveren zonder voor elke klant een nieuwe compliance-opzet te hoeven bouwen.

NIS2-naleving is geen project dat ooit afloopt. De richtlijn is nu van kracht, de nationale toezichthouders zijn druk bezig met het in kaart brengen van de betrokken entiteiten, en de 24-uursmeldingstermijn tikt door, of een organisatie nu wel of niet de capaciteit heeft opgebouwd om hieraan te voldoen. De organisaties die de eerste golf van handhavingsmaatregelen zonder kleerscheuren doorstaan, zijn degenen die NIS2 hebben behandeld als een permanente verandering in het bedrijfsmodel in plaats van als een tijdelijke compliance-spurt. De organisaties die dat niet doen, zullen in briefings van toezichthouders – in plaats van bij interne audits – ontdekken op welke van de tien maatregelen ze precies tekortschoten.