NIS2 richtlijn: wat zijn de gevolgen voor het MKB en de lokale overheid?

De NIS2 richtlijn (richtlijn netwerk- en informatiesystemen) is op 10 november 2022 door het Europees Parlement aangenomen en op 27 december 2022 gepubliceerd in het Publicatieblad van de Europese Unie. De lidstaten hebben nu tot september 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. Maar waarom een nieuwe versie van deze richtlijn? Wat zijn de belangrijkste wijzigingen in de regelgeving? En wat zijn de gevolgen voor het MKB en lokale overheden? In dit artikel worden enkele mogelijke antwoorden gegeven.

Ransomware, phishing, whaling - in 2022 werd opnieuw duidelijk dat geen enkel bedrijf veilig is voor cyberdreigingen. Na de cyberaanvallen op Kaseya en SolarWinds in 2021 waren "supply chain attacks" opnieuw heel relevant, waarbij ook Okta (authenticatie) en Github (een platform voor het hosten van broncode) beide gecompromitteerd bleken. In plaats van kleine, middelgrote en grote bedrijven rechtstreeks aan te vallen, kiezen cybercriminelen er de laatste jaren voor zich te richten op gelieerde onderaannemers om toegang te krijgen tot de netwerken van hun klanten.

Als gevolg hiervan, zoals tevens blijkt uit ons Security Navigator 2023-rapport, kan elk bedrijf nu te maken krijgen met cyberaanvallen. Met een toename van 5% in het volume van cyberaanvallen werden in 2022 99.000 incidenten verwerkt door onze CyberSOC-teams. Met een gemiddelde van 34 incidenten per maand per klant komt dat neer op maar liefst één incident per dag en per bedrijf - een nieuw record. In Europa steeg het aantal slachtoffers van cyberaanvallen in 2022 met 18%. En in tegenstelling tot wat men wellicht aanneemt, zijn er 4,5 keer meer kleine- en MKB’s die het slachtoffer worden van cyberextortion dan middelgrote en grote bedrijven samen. Deze bedrijven zijn met name het doelwit van malware die in staat is IT-systemen te versleutelen en back-ups te vernietigen. Dit soort aanvallen heeft in de ergste gevallen geleid tot het faillissement van bedrijven. Op 30 oktober 2022 deelde Hugues Foulon, CEO van Orange Cyberdefense, dat "60% van de bedrijven die het slachtoffer zijn geworden van een cyberaanval binnen zes maanden failliet gaan". Dit feit zou elk bedrijf moeten aanmoedigen om zich voor te bereiden op de mogelijkheid van een aanval.

In zijn eerste versie, vastgesteld in 2016, was de NIS1 richtlijn bedoeld om bedrijven te identificeren in de zogenaamde "essentiële" sectoren, waar disruptie van de dienstverlening zou kunnen leiden tot aanzienlijke verstoring van bedrijven en overheidsdiensten. Bedrijven die verantwoordelijk zijn voor kritieke infrastructuur in 19 sectoren, zoals gezondheidszorg, energie en telecommunicatie, werden toen aangewezen als OES (Operator of Essential Services).

Hoewel deze eerste versie een grote stap voorwaarts betekende in de standaardisering van de beveiliging van de belangrijkste Europese bedrijven, werd geen rekening gehouden met onderaannemers en lokale overheden, die beide de afgelopen jaren zwaar zijn getroffen door beveiligingsincidenten.

De vernieuwing van deze richtlijn omvat zowel een uitbreiding van de verplichtingen, als  een verbreding van de betrokken sectoren. Tevens is de NIS2 richtlijn, in tegenstelling tot de NIS1, voor alle lidstaten juridisch bindend.  

NIS2 heeft meerdere doelstellingen:

• Het verhogen van het veiligheidsniveau en de weerbaarheid van publieke en private partijen welke actief zijn binnen de EU.
• Het versterken en uniformeren van zowel de naleving als de handhaving binnen de individuele lidstaten.
• Het verbeteren van het situationeel bewustzijn en het handelingsperspectief om effectief en efficient te kunnen optreden tijdens grootschalige cyber incidenten.
• De uitbreiding van de betrokken sectoren van 19 naar 35, met inbegrip van bijvoorbeeld afvalbeheer, postdiensten en voedselverwerking. 

Daarnaast is er nog een belangrijke wijziging: NIS2 betekent het einde van de OESs en creëert twee nieuwe soorten bedrijven - Essential Entities (EEs) and Important Entities (IEs). Het onderscheid tussen deze twee soorten bedrijven is gebaseerd op hoe kritisch de activiteiten van het bedrijf zijn.

Het toepassingsgebied voor NIS2 is groter. Het aantal betrokken sectoren is toegenomen van 19 tot 35, waaronder sectoren zoals afvalwaterverwerking, drinkwatervoorziening en afvalbeheer.  Deze nieuwe voorschriften zullen dus van toepassing zijn op alle entiteiten die binnen deze sectoren in de Europese Unie actief zijn, ongeacht hun omvang. Door deze uitbreiding van sectoren zal het aantal betrokken entiteiten vertienvoudigen.

Tot nu toe ging het alleen om bedrijven die als OES, OVI (Operator of Vital Importance) of DSP (Digital Service Providers) waren aangewezen. Van nu af aan zullen lokale overheden, bedrijven met meer dan 50 werknemers en een omzet van meer dan een miljoen euro, alsook onderaannemers van bedrijven die onder de richtlijn vallen, aan de richtlijn moeten voldoen.

Wat zijn de verplichtingen voor de betrokken bedrijven?

• Het treffen van beveiligingsmaatregelen om IT-netwerken en -systemen te beschermen tegen cyberdreigingen.
• Het identificeren en beoordelen van cyberrisico's.
• Samenwerken met bevoegde autoriteiten en exploitanten van essentiële diensten in geval van beveiligingsincidenten.
• Significante cyberbeveiligingsincidenten melden aan een CERT (Computer Emergency Response Team) met een waarschuwing binnen 24 uur en een incidentmelding binnen 72 uur.

De toepassing van een dergelijk beveiligingsbeleid betekent investeringen in cyberbeveiligingsproducten en diensten. Of dit nu de vorm aanneemt van een SOC, EDR of XDR, het voldoen aan deze vereisten kan complex zijn voor bepaalde lokale overheden en MKB-bedrijven die een achterstand hebben opgelopen in het gebruik van cyberbeveiligingstools en de ontwikkelen van interne vaardigheden voor het gebruik van dergelijke instrumenten.

De Europese Directive legt sancties op indien organisaties de verplichtingen niet nakomen. Deze sancties kunnen verschillende vormen aannemen, zoals boetes (tot 10 miljoen euro of 2% van de totale jaaromzet van de organisatie), strafrechtelijke sancties of corrigerende maatregelen. Deze sancties worden vastgesteld door de lidstaten met als doel ervoor te zorgen dat zij doeltreffend en evenredig zijn en een afschrikkende werking hebben.

Samenvattend, NIS2 is een nieuwe stap voorwaarts in de verbetering en uniformering van de beveiliging van bedrijven die in verband staan met de kritieke infrastructuur in de lidstaten. In een onstabiele geopolitieke context staan het MKB en de lokale autoriteiten in deze sectoren de komende maanden voor bestuurlijke en organisatorische uitdagingen. Deze uitdagingen zullen aanzienlijk zijn omdat, volgens het Nederlandse parlementslid Bart Groothuis, 160.000 additionele entiteiten het niveau van digitale beveiliging in lijn moeten brengen met de vereisten van de NIS2 en daaruit voortkomende Nederlandse wet- en regelgeving zoals opgenomen in de Wbni. Om deze uitdagingen aan te gaan, zullen bedrijven de diensten van gekwalificeerde dienstverleners nodig hebben om hen bij hun transformatie te ondersteunen.

Als Cybersecurity Advisory en Services Provider streven wij naar een veilige digitale samenleving. Ruim 25 jaar ondersteunen wij organisaties met het beantwoorden van security vraagstukken wereldwijd. Ben je een zogenaamde ‘essentiële entiteit’, of een ‘belangrijke entiteit’ met meer dan 50 medewerkers, dan is de NIS2 richtlijn van toepassing op jouw organisatie. Wil je weten waar je nu staat qua beveiligingsniveau en niveau van compliance? Middels gestructureerde assessments en/of opdrachten op maat helpen onze experts je met advies en begeleiding om samen tot een passende weg voorwaarts te komen.

Neem contact met ons op voor meer informatie.