NIS2 als basis voor (cyber)risicomanagement

Er komt een vernieuwde Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen. NIS2 (Network and Information Security Directive) wordt de opvolger van de huidige NIS-richtlijn. Wanneer deze precies in werking treedt in Nederland is nog niet duidelijk. Maar uw organisatie krijgt hier misschien ook mee te maken.

Goed dus om alvast voorbereid te zijn en uw cyberbeveiligingsrisico’s in kaart te brengen, hiertegen maatregelen te nemen en te denken aan een cyberrisicoverzekering. Marsh vertelt u wat de belangrijkste wijzigingen zijn en hoe u zich op NIS2 kunt voorbereiden.

De NIS2-richtlijn geeft een wettelijk kader voor de bescherming van digitale systemen. Het draagt bij aan een grotere cyberweerbaarheid in de Europese Unie. De richtlijn vervangt de huidige NIS-richtlijn uit 2016. NIS2 is eind 2022 vastgesteld door de Europese Unie. Ten opzichte van de nu geldende NIS-richtlijn geldt NIS2 voor veel meer sectoren. Bovendien moeten die organisaties gaan voldoen aan meer beveiligingseisen.
In Nederland zal de richtlijn via de Wet beveiliging netwerk- en informatiesystemen (Wbni) van kracht worden. Dat zou per 17 oktober 2024 zijn, maar dat moment kan niet gehaald worden. In het najaar zal het wetsvoorstel naar de Tweede Kamer gaan.

NIS2 op een rij:

Geldt voor meer sectoren: organisaties die vallen onder de categorie ‘essentiële’ en ‘belangrijke’ organisaties en overheden.
stelt strengere eisen aan cyberbeveiliging
actieve meldplicht en zorgplicht bij incidenten
bestuurders zijn persoonlijk aansprakelijk voor incidenten
toezicht: proactief bij essentiële organisaties, reactief bij belangrijke organisaties
boetes bij overtredingen: maximaal 1,4 tot 2 procent van de omzet.
ook toeleveranciers van ‘NIS2-organisaties’ zullen moeten gaan voldoen aan richtlijnen en veiligheidseisen die hun klant van hen vraagt.

Download de brochure

Focus op essentiële en belangrijke organisaties

Elke middelgrote tot grote organisatie die digitale diensten aanbiedt, moet voldoen aan de NIS2-richtlijn. De focus ligt hierbij op organisaties die werkzaam zijn in sectoren die “essentieel” zijn, zoals energie, drinkwater, vervoer en het bankwezen. Maar ook op sectoren die “belangrijk” zijn, zoals postdiensten, afvalverwerking en de levensmiddelenindustrie. De Rijksoverheid en zelfstandige bestuursorganen, vallen onder de NIS2-richtlijn als essentiële organisatie. Organisaties die aangemerkt worden als essentieel, krijgen te maken met actiever toezicht en hogere boetes bij overtreding dan organisaties die als belangrijk worden gezien.

Gregory van den Top, head of cyber risk consulting voor Marsh in Europa:

“Of een organisatie onder de NIS2-richtlijn valt, is afhankelijk van een aantal criteria, onder meer het aantal medewerkers en de omzet. We merken bij onze klanten dat er in eerste instantie meestal gedacht wordt aan grote (essentiële) organisaties, bijvoorbeeld energie- en waterproducenten. Maar je moet ook de risico’s van middelgrote bedrijven in de belangrijke sectoren niet onderschatten. Een incident bij een bedrijf dat bijvoorbeeld werkzaam is als producent of distributeur in de levensmiddelenindustrie, kan grote gevolgen hebben voor de gehele keten. Het bedrijf kan stilvallen, de productie- en voorraadsystemen geven niet de juiste informatie en de houdbaarheid van producten is niet meer te garanderen. Dat kan ook grote maatschappelijke gevolgen hebben, als veel consumenten die producten gebruiken.”

Verplichtingen: zorgplicht, meldplicht en aansprakelijkheid bestuurders

NIS2 legt verplichtingen op. Een daarvan is de zorgplicht voor essentiële en belangrijke organisaties. Zij moeten zelf een risicobeoordeling doen en moeten passende maatregelen nemen om de risico’s te beheersen. Verder gaat er een meld- en zorgplicht gelden. Zo moeten organisaties cyberincidenten binnen 24 uur melden bij de toezichthouder.

Van den Top: “Nieuw in de richtlijn is ook dat bestuurders van NIS2-organisaties verantwoordelijk worden voor het cyberrisico dat hun organisatie loopt. Daarmee komt ook de aansprakelijkheid voor eventuele cyberincidenten, zoals datalekken, bij het (top)management te liggen. Bovendien zullen zij zich op structurele basis moeten laten trainen op het gebied van cyberveiligheid.”

Is mijn organisatie Essentieel of Belangrijk?

Wilt u weten of uw organisatie moet voldoen aan de NIS2-richtlijn? De Rijksoverheid heeft hier een zelf-evaluatie voor ontwikkeld. Daarmee kunt u bepalen of de NIS2-richtlijn op uw organisatie van toepassing is. U kunt zich natuurlijk ook laten bijstaan door een jurist.

Verzekeren van risico’s is kostenefficiënt

Het is voor organisaties goed om te weten dat cyberrisico’s inmiddels goed te verzekeren zijn met een cyberrisicoverzekering. Sjaak Schouteren, Cyber Development Leader voor Marsh Nederland: “We zien dat de eisen die in wetgeving gesteld worden in Europese landen, helpen. Verzekeraars hebben inmiddels geen beperkingen meer op de dekking van een cyberrisicoverzekering. Bestuurders en management zijn bijvoorbeeld ook verzekerd. Daarbij komt dat de markt van cyberrisicoverzekeringen de afgelopen jaren ‘volwassen’ is geworden. Daardoor zijn de premies met 30 tot 40 procent gedaald. Dit alles bij elkaar zorgt ervoor dat het aantrekkelijker is om te verzekeren tegen cyberrisico’s.”

Ondernemen met en dankzij NIS2

Organisaties kunnen zich op verschillende manieren voorbereiden op de eisen en verplichtingen van NIS2. Van den Top: “Het is goed om te bepalen wat nodig is voor jouw organisatie. Vervolgens kun je je gaan oriënteren in de markt en bij adviseurs, juristen en experts. Belangrijk is ook om je klantportfolio te bekijken: ben ik zelf een NIS2-organisatie of ben ik toeleverancier? In beide gevallen zul je maatregelen moeten treffen.”

Het start met een cyberrisicoanalyse. Schouteren: “Een risicoplan is voor iedere organisatie aan te bevelen. Voor groot of klein. Bij Marsh hanteren we de vereisten van NIS2 nu al als basis van cyberrisicomanagement. De maatregelen zijn maatwerk en specifiek voor elke business. Zo bent u direct goed voorbereid.”

Inloggen marsh.com