30 mei 2024

NIS2: De volgende stap voor aanbieders van essentiële én belangrijke diensten

Met de introductie van NIS2 staan veel organisaties voor een nieuwe compliance-uitdaging. Wat moet mijn organisatie met de NIS2-richtlijn? Wat wordt straks verwacht van de organisaties die NIS2-compliant moeten zijn en welke rol kan de IT-auditor spelen? In dit blog proberen we deze vragen te beantwoorden. 

Achtergrond van NIS2 

NIS2 is Europese wetgeving die als doel heeft de cyberweerbaarheid van essentiële en belangrijke dienstverleners te versterken. NIS2 stelt eisen aan de beveiliging van netwerk- en informatiesystemen, de melding van cyberincidenten en de veerkracht van deze organisaties.  

NIS2 bouwt voort op zijn voorganger, NIS1. In Nederland is de NIS1-richtlijn geïmplementeerd via de Wet beveiliging netwerk- en informatiesystemen (Wbni). De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de Wbni. NIS2 wordt op dit moment vertaald in nationale wetgeving. Deze wetgeving zal gelden als opvolger van de Wbni. 

Een van de voornaamste verschillen tussen NIS1 en NIS2 is dat NIS1 uitsluitend verplicht was voor essentiële dienstverleners, terwijl NIS2 ook voor belangrijke dienstverleners gaat gelden. Bij essentiële dienstverleners kan je denken aan energiebedrijven en gezondheidszorg. Voorbeelden van belangrijke dienstverleners zijn afvalverwerkers en de voedselindustrie. Daarmee geldt NIS2 voor een breder scala aan organisaties. Zo ook Nederlandse gemeenten.  

Zorgplicht en meldplicht 

De NIS2-richtlijn stelt daarnaast strengere beveiligingsnormen (zorgplicht) en meldingsvereisten (meldplicht) voor incidenten dan NIS1. 

NIS2 legt een zorgplicht op aan organisatie, wat inhoudt dat zij zelf een risicobeoordeling uit moeten voeren. Deze beoordeling dient als basis voor de maatregelen die moeten worden genomen om hun diensten te beschermen. 

De meldplicht vereist dat organisaties incidenten die de verlening van essentiële diensten sterk kunnen verstoren binnen 24 uur bij een toezichthouder melden. Daarnaast moet het cyberincidenten aan het Computer Security Incident Response Team (CSIRT) worden gemeld, dat vervolgens hulp en bijstand kan bieden. 

Voor overheden; de BIO 2.0 

Maar hoe zit het dan met de Baseline Informatiebeveiliging Overheid (BIO) en NIS2? De BIO moest alle normenkaders en richtlijnen voor overheden vervangen door één normenkader. Krijgt de Nederlandse overheid dan naast de BIO toch weer te maken met een apart normenkader? 

Het antwoord zit hem in de BIO 2.0. De nieuwe versie van de BIO wordt al een tijd lang verwacht, maar is door de komst van NIS2 uitgesteld. Naar verwachting worden de eisen van NIS2 in de BIO 2.0 ondergebracht en wordt bovendien in de opvolger van de Wbni de BIO wettelijk verankerd. 

Implicaties voor mijn bedrijf

Zoals altijd is het uitbesteden van diensten geen uitbesteding van de compliance verantwoordelijkheid. Ook bij NIS2 ontslaat het uitbesteden van de IT-functie bij een dienstverlener een NIS2-plichtige organisatie er niet van zich over passende maatregelen te verantwoorden. Als IT-dienstverlener kan je dus verwachten dat klanten die NIS2-plichtig zijn met vragen komen over de IT-beheersmaatregelen en hierover vervolgens zekerheid gaan eisen.  

Een kanttekening hierbij is dat de geleverde dienstonderdeel is van de essentiële of belangrijke dienstverlening van een klant. Over een SaaS parkeerreserveringsysteem zullen niet zo snel vragen in het kader van NIS2 komen. 

Wat is nu de planning? 

Het is allemaal nog niet definitief, maar zoals het er nu naar uitziet is 2024 het jaar waarin het moet gaan gebeuren; 

  • Mei 2024: De concept wetteksten van de nieuwe Wbni zijn eind mei 2024 voorgelegd aan de sectoren en organisaties, die hierop kunnen reageren. 
  • Oktober 2024: De NIS2-richtlijn moet uiterlijk 17 oktober 2024 omgezet zijn naar Nederlandse wetgeving. Dit is ook de maand waarin de BIO 2.0 is aangekondigd.
     

Onze Rol als IT-auditor 

Vooralsnog kent NIS2 geen wettelijke externe auditverplichting en is het nog niet duidelijk hoe de BIO 2.0 eruit komt te zien. Dat betekent natuurlijk niet dat er geen rol voor de IT-auditor is weggelegd. Wij helpen organisaties graag richting NIS2 compliance met onze dienstverlening. 

  • NIS2 QuickScan  

Met een NIS2 QuickScan bieden wij inzicht in de positie van de organisatie ten opzichte van de NIS2-richtlijn. Wij maken een Gapanalyse en brengen een adviesrapport uit hoe de Gaps tot NIS2 compliance het beste in te vullen. U kunt deze Quickscan aanvragen via ons contactformulier.

  • NIS2-TPM of BIO-TPM 

Een TPM is een assuranceverklaring van de IT-auditor van een serviceorganisatie over de IT-beheersmaatregelen bij de serviceorganisatie. De gebruiker van het rapport is de afnemer van de dienstverlening en hun auditors. Hiermee kan een IT-dienstverlener bij hun klanten aantonen te voldoen aan specifieke eisen van de NIS2-richtlijn of eisen van het BIO-normenkader.

2-Control

076-5019470

Neem contact met ons op

Heeft u vragen of opmerkingen over onze IT-auditdiensten? Wij horen graag van u. Vul uw gegevens in het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. U kunt ook rechtstreeks contact met ons opnemen via het telefoonnummer aan de linkerkant.

Ons toegewijde team staat klaar om u te helpen met eventuele vragen of problemen. Wij streven ernaar om u de best mogelijke service te bieden.

Vul ons contactformulier in