Maak uw organisatie cyberklaar voor NIS2

 

De nieuwe Nederlandse Cyberbeveiligingswet (nav EU-directive NIS2) zal in het najaar van 2025 worden geïntroduceerd. Meer organisaties dan nu het geval is zullen worden aangemerkt als essentieel of belangrijk en moeten voldoen aan een hoger niveau van cyberbeveiliging. De aansprakelijkheid van het bestuur wordt aangescherpt en bedrijven die zich niet aan de wetgeving houden, riskeren boetes. De nieuwe wetgeving biedt echter ook kansen ten aanzien van uw cyberweerbaarheid. Wij houden u via deze pagina op de hoogte. Zo kunt u uw organisatie tijdig inrichten voor de nieuwe Cyberbeveiligingswet.

Deze pagina wordt doorlopend geüpdatet met relevante bronnen en ontwikkelingen met betrekking tot de nieuwe Cyberbeveiligingswet.

Belangrijkste leerpunten

  1. Met ingang van 18 oktober 2024  had de op NIS2 gebaseerde implementatiewet in werking moeten treden: dit neemt echter meer tijd in beslag. De Nederlandse Cyberbeveiligingswet zal naar verwachting in het najaar van 2025 in werking treden.
  2. Deze wetgeving zal voor meerdere bedrijven gaan gelden met de eis om hun maatregelen voor cyberbeveiliging aan te scherpen.
  3. Elk bedrijf moet naar de vereisten voor NIS2 kijken en beoordelen of het hieraan voldoet, anders riskeert het mogelijk hoge boetes.

Wat is de NIS2-richtlijn?

De Network and Information Security (NIS2)-richtlijn Opens in a new tab van de Europese Unie vervangt de NIS-richtlijn 2016 en heeft tot doel een "hoog gemeenschappelijk niveau van cyberbeveiliging in alle EU-lidstaten" te waarborgen door de vereisten voor cyberbeveiliging verder te versterken in cruciale infrastructuur en in die bedrijfstakken en organisaties die onmisbaar zijn voor het functioneren van de economie.

NIS2 is op 16 januari 2023 goedgekeurd en alle EU-lidstaten moesten de nodige maatregelen treffen en publiceren om uiterlijk op 17 oktober 2024 aan de richtlijnen te voldoen. Deze maatregelen zouden dan op 18 oktober 2024 van kracht worden. De meeste EU-landen hebben echter uitstel aangevraagd, waaronder dus ook Nederland. Bedrijven die binnen de EU actief zijn, zullen moeten voldoen aan NIS2 om ervoor te zorgen dat ze een hoger niveau van cyberbeveiliging kunnen aantonen.

Wat zijn de belangrijkste wijzigingen?

De belangrijkste wijzigingen onder NIS2 zijn:

Uitbreiding van industriële sectoren en entiteiten die onder de reikwijdte van NIS2 vallen.

De oorspronkelijke NIS omvatte zogenaamde exploitanten van essentiële diensten zoals watervoorziening, gezondheidszorg, transport en sommige digitale dienstverleners. NIS2 is uitgebreid met sectoren zoals post- en koeriersdiensten, voedsel, ruimtevaart en afvalwaterverwerking, evenals tal van middelgrote bedrijven met minimaal 50 werknemers en een omzet van meer dan € 10 miljoen.

Bestuurders­aansprakelijkheid.

Het management is verantwoordelijk voor het goedkeuren van de maatregelen voor het beheer van cyberbeveiligingsrisico's die door hun bedrijf zijn genomen, voor het toezicht op de uitvoering ervan, en kan aansprakelijk worden gesteld voor overtreding van de regels. Managementleden moeten een training volgen zodat ze voldoende kennis en vaardigheden opdoen om risico's te identificeren en risicobeheerpraktijken op het gebied van cyberbeveiliging en de impact ervan op hun diensten te beoordelen.

Aangescherpte maatregelen voor risicobeheer op het gebied van cyberbeveiliging

Bedrijven dienen passende en evenredige technische, operationele en organisatorische maatregelen te nemen om hun cyberrisico's te beheersen en de impact van incidenten op ontvangers van hun diensten te voorkomen of tot een minimum te beperken.

Voor bedrijven die nu onder NIS2 vallen gelden minimumvereisten die zij moeten implementeren. Deze vereisten variëren van het gebruik van meervoudige authenticatie tot het afhandelen van incidenten en beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen.

Door het bedrijf genomen maatregelen voor risicobeheer op het gebied van cyberbeveiliging moeten worden gedocumenteerd en er moet bewijs van de implementatie van het cyberbeveiligingsbeleid beschikbaar zijn. Zo moet incidentenafhandeling duidelijk omschreven zijn en moet elk bedrijf over rampherstelplannen beschikken.

Bij een cyberincident moeten organisaties binnen een kort tijdsbestek drie specifieke stappen doorlopen:

  • Binnen 24 uur na een cyberaanval moet een eerste waarschuwing worden gestuurd naar de verantwoordelijke autoriteit in het land waarin de aanval heeft plaatsgevonden.
  • Binnen 72 uur moet nadere informatie over het incident worden verstrekt.
  • Binnen een maand moet een definitief detailrapport over het incident beschikbaar zijn.
Beveiliging van de toeleveringsketen valt ook binnen het toepassingsgebied

Cybersecurity risicomanagement wordt uitgebreid met supply chain security. Bedrijven die onder NIS2 vallen, moeten rekening houden met de kwetsbaarheden die specifiek zijn voor elk van hun directe leveranciers en dienstverleners om de impact van incidenten in de toeleveringsketen op ontvangers van hun diensten en op andere diensten te voorkomen of te minimaliseren.

Hogere boetes

"Essentiële" bedrijven die NIS2 niet naleven, krijgen te maken met administratieve boetes van maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde jaaromzet (welke van beide het hoogst is), terwijl "belangrijke" bedrijven boetes krijgen van maximaal € 7 miljoen of 1,4 procent (welke van beide het hoogst is).

Ga het gesprek aan met ons team

Contact

Ralf Willems
Managing Consultant
Cyber Solutions
06 51 99 29 25
[email protected]

Frank Ruijgrok
Principal Consultant
Cyber Solutions
06 46 12 39 88
[email protected]

On demand Webinars

Bekijk NIS2 Insights: Bestuurders aan zet - Webinar 3 (mei 2024) Bekijk NIS2 Insights - webinar 2 (juni 2023) Bekijk NIS2 Insights - webinar 1 (maart 2023)

Relevante bronnen

Artikel
Bestuurders, kom in actie Opens in a new tab

Artikel
In 10 stappen naar een nieuwe cyberveilige organisatiecultuur Opens in a new tab

Artikel
NIS2 Insights 2: Voorbereiding voor organisaties Opens in a new tab

Artikel
NIS2 Insights 1: Impact en stappenplan Opens in a new tab

Onze NIS2-dienstverlening
GAP analyse Opens in a new tab
BOARD training Opens in a new tab
Pragmatische en datagedreven implementatie Opens in a new tab

Voor welke bedrijven geldt de NIS2-richtlijn?

De EU verdeelt de lijst van bedrijven waarop de NIS2-richtlijn van toepassing is in 'essentieel' en 'belangrijk' (zie hieronder). Deze lijst bevat energieleveranciers, online marktplaatsen, bedrijven, maar ook tal van middelgrote bedrijven en overheidsinstanties. Hoewel de belangrijkste doelstellingen voor NIS2 middelgrote bedrijven en grote bedrijven zijn, kunnen sommige kleinere bedrijven ook onder de vereisten van NIS2 vallen als aan bepaalde voorwaarden wordt voldaan of als ze als essentieel worden beschouwd.

Bedrijven moeten zelf vaststellen of NIS2 op hen van toepassing is. Dit geldt ook voor bedrijven die deel uitmaken van de toeleveringsketen van als essentieel of belangrijk aangemerkte bedrijven of sectoren. In de NIS2-richtlijn is een bijlage met essentiële en belangrijke sectoren opgenomen, waarvan u hieronder een overzicht ziet. U kunt aan de hand hiervan vaststellen of deze richtlijn (mogelijk) ook op uw bedrijf van toepassing is. De consultants van Aon gaan graag met u in gesprek over wat NIS2 voor uw organisatie gaat betekenen en hoe uw organisatie zich kan voorbereiden.

 

Essentieel

Bankwezen

Digitale infrastructuur (DNS, IXP, TLD, ICT)

Energie

Infrastructuren in financiële markten

Gezondheidszorg

ICT servicemanagement

Publieke administratie

Ruimtelijke ordening

Transport

Water en riolering

Overheidsdiensten

Belangrijk

Leveranciers van digitale platformen

Fabricage

Fabricage, productie en distributie van chemicaliën

Post- en koeriersdiensten

Productie, verwerking en distributie van voedsel

Onderzoek

Afvalbeheer

Wat moeten bedrijven weten?

Of uw bedrijf nu een essentiële of belangrijke entiteit is, elke organisatie moet vóór het in werking treden van de Cyberbeveiligingswet naar de vereisten hiervan kijken en beoordelen of ze daaraan voldoen. Deze vereisten omvatten het ondernemen van stappen rond operationeel cyberrisicobeheer; cyberhygiëne; incidentafhandeling; melding van incidenten; en beveiliging van de toeleveringsketen.

Net als bij de AVG-wetgeving van de EU loont het voor bedrijven om dit proces ruim op tijd te starten om problemen te voorkomen. Door gebruik te maken van meer dan 20 jaar ervaring met het leveren van cyberoplossingen in verschillende domeinen, kunnen wij u hulp, ondersteuning en advies bieden in elke fase inzake NIS2.

Wat NIS2 vereist

Hoe Aon kan helpen

Beoordeel de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging.

Optimalisatie van eindige budgetinvesteringen om uw organisatie te helpen een zo hoog mogelijk rendement op uw beveiligingsinvesteringen te behalen

Basis cyberhygiëne

Geef een beoordeling van de cyberhouding en algemene cyberhygiëne van uw organisatie om zo het evalueren en lokaliseren van hiaten in uw risico- en beveiligingsmaatregelen mogelijk te maken.

Multi-factor of continue authenticatie (MFA)

Bied strategische ondersteuning voor de selectie, acceptatie en implementatie van geschikte Multi-factor Authentication-oplossingen

Beleid en procedures met betrekking tot cryptografie

Ontwikkel gespecificeerde modellen voor de constructie en uitrol van specifieke trainingsmodules voor gebruikersbewustzijn.

Beveiliging van de toeleveringsketen

Stem het cyberrisico in de toeleveringsketen af op uw bestaande raamwerk voor risicobereidheid van uw bedrijf en ontwikkel een bedrijfsspecifieke aanpak om de cyberweerbaarheid van de toeleveringsketen beter te analyseren en aan te pakken.

Afhandeling van cyberincidenten

Analyseer in welke mate u voorbereid bent om cyberincidenten af te kunnen handelen en analyseer de ontwikkeling van uitgebreide incidentresponsprotocollen, waaronder:

  • Beoordeling van de voorbereiding op incidenten
  • Opstellen van Incident Response Plan (IRP)
  • Aanbod van Incident Response Retainer (IRR) wereldwijd
  • Business Continuity Management voor cyberbeveiliging
  • Ontwikkeling protocol cyberverzekeringsclaims
Melding van cyberincidenten

Beoordeel de mogelijkheden van incidentrapportage en het reactievermogen van uw bedrijf en ontwerp procedures voor incidentrapportage of pas ze aan om te voldoen aan nieuwe wetgeving

Beleid inzake risicoanalyse en beveiliging van informatiesystemen

Ontwikkelen of beoordelen van geschikte risicobeheersystemen die zijn afgestemd op de kaders voor enterprise risk management (ERM).

Beveiliging in netwerk- en informatiesystemen

Jaag systematisch op generieke en gerichte bedreigingen binnen het netwerk en controleer het deep en dark web op bedreigingen en gelekte bedrijfsgegevens.

Beleid en procedures om de effectiviteit van risicobeheer te beoordelen

Ontwikkel kaders voor risicobeoordelingen op organisatieniveau in combinatie met scenariospecifieke stresstests om de algehele volwassenheid en striktheid van het risicobeheer te onderzoeken.

NIS2: Vier vragen die elk bedrijf zichzelf zou moeten stellen

 

 

  1. Wordt mijn bedrijf beïnvloed door NIS2?
  2. Is ons risicomanagement op het juiste niveau voor NIS2?
  3. Kan mijn bedrijf cybersecurity-incidenten wel of niet goed melden?
  4. Hoe staat het met het risicobeheer van de toeleveringsketen van mijn bedrijf als het gaat om cyberbeveiliging?

Onze NIS2-dienstverlening

Klik hier voor meer informatie over onze

  • NIS2 BOARD-bestuurderstraining: weet wat er van u als bestuurder wordt gevraagd
  • GAP-analyse: voor een goed inzicht in uw huidige cybervolwassenheid en waar u nog aandacht aan dient te besteden.
  • Pragmatische en datagedreven implementatie: samen met u implementeren we de nodige fases van goed cyberrisicomanagement

Onze geïntegreerde aanpak voor het beheersen van cyberrisico's kan in samenwerking met u worden toegepast in uw cyberweerbaarheidsstrategie. Zo helpen wij u beter geïnformeerd te zijn en op basis hiervan uw beslissingen te maken. Lees hier hoe Aon's Cyber Loop Model uw organisatie tijdens haar reis naar duurzame cyberweerbaarheid kan ondersteunen.

 

Contactinformatie

Als u meer wilt weten over hoe Aon uw organisatie kan helpen bij de voorbereiding op de nieuwe Cyberbeveiligingsgwet (NIS2), het verhogen van uw cyberweerbaarheid in het algemeen of het vinden van een passende cyberverzekering, vul dan onderstaand formulier in. Ons cyberteam neemt dan zo snel mogelijk contact met u op.