De NIS2-richtlijn is een belangrijke stap in het versterken van de cyberweerbaarheid binnen de Europese Unie (EU).

Deze richtlijn is ontwikkeld als een antwoord op de toenemende digitalisering en de daarmee gepaard gaande complexiteit van cyberdreigingen die onze moderne samenlevingen bedreigen. NIS2 vervangt de eerdere NIS-richtlijn, die in 2016 werd ingevoerd om een eerste gecoördineerde aanpak van cyberbeveiliging in de EU te realiseren.

Ondanks de successen van NIS1 werd al snel duidelijk dat deze richtlijn niet meer voldeed aan de steeds veranderende digitale omgeving, waardoor een grondige herziening noodzakelijk was.

Achtergrond en doelstelling

De oorspronkelijke NIS-richtlijn uit 2016 was gericht op het verbeteren van de cybersecurity van essentiële diensten in sectoren zoals energie, transport, en gezondheidszorg, evenals bij digitale dienstverleners. Hoewel deze richtlijn de eerste poging was om cyberbeveiligingsnormen binnen de EU te harmoniseren, vertoonde NIS1 enkele belangrijke tekortkomingen. Deze omvatten onder andere inconsistenties in de uitvoering tussen de lidstaten, een beperkte scope die niet alle kritieke sectoren dekte, en een gebrek aan effectieve coördinatie bij grensoverschrijdende incidenten.

De NIS2-richtlijn is ontworpen om deze lacunes te dichten en een robuuster kader te bieden dat de cyberweerbaarheid van zowel publieke als private organisaties binnen de EU aanzienlijk verbetert. Een van de voornaamste doelen van NIS2 is om de respons op cyberincidenten te versterken, de samenwerking tussen lidstaten te verbeteren en de weerbaarheid tegen hacking en andere cyberaanvallen te verhogen.

Met NIS2 worden de verantwoordelijkheden van organisaties duidelijker gedefinieerd, en worden er strengere eisen gesteld aan zowel de technische als organisatorische maatregelen die organisaties moeten nemen om hun netwerken en systemen te beveiligen. Dit omvat onder andere verplichtingen op het gebied van risicobeheer, incidentrespons, en supply chain security.

Belangrijkste wijzigingen

Uitbreiding van de scope
Een van de meest ingrijpende wijzigingen in NIS2 is de uitbreiding van de scope. Waar NIS1 zich voornamelijk richtte op zeven essentiële sectoren, breidt NIS2 dit aantal aanzienlijk uit. Onder NIS2 vallen nu ook sectoren zoals digitale infrastructuur, de voedselindustrie, afvalbeheer, en chemische productie. Dit betekent dat veel meer organisaties, inclusief middelgrote bedrijven die eerder buiten de reikwijdte van de wetgeving vielen, nu aan de nieuwe eisen moeten voldoen. Bovendien wordt de nadruk gelegd op de bescherming van zowel IT- als OT-systemen (Operational Technology), gezien de toenemende verwevenheid van deze omgevingen en de kwetsbaarheden die daardoor ontstaan.

Verantwoordelijkheid van het management
Een andere belangrijke verandering is de verhoogde nadruk op de verantwoordelijkheid van het management. NIS2 legt expliciet vast dat de leiding van een organisatie aansprakelijk kan worden gesteld voor het niet naleven van de richtlijn. Dit betekent dat bestuursleden en directieleden proactief moeten zorgen voor de implementatie en het toezicht op effectieve cybersecuritymaatregelen. Dit omvat niet alleen het goedkeuren van beveiligingsstrategieën, maar ook het volgen van trainingen en het aanmoedigen van regelmatig cybersecuritybewustzijnstrainingen binnen de organisatie.

Verhoogde boetes en handhaving
Waar NIS1 nog relatief mild was in de handhaving, introduceert NIS2 aanzienlijk strengere sancties voor non-compliance. Organisaties die er niet in slagen om te voldoen aan de nieuwe eisen, kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is. Deze boetes zijn vergelijkbaar met die van de Algemene Verordening Gegevensbescherming (AVG) en onderstrepen de ernst waarmee de EU deze richtlijn wil afdwingen.

Verhoogde samenwerking en coördinatie
Tot slot bevordert NIS2 de samenwerking tussen lidstaten door middel van een sterker gecoördineerde aanpak bij grensoverschrijdende incidenten. Dit omvat onder andere de oprichting van nationale CSIRTs (Computer Security Incident Response Teams) en de versterking van de NIS-samenwerkingsgroep, die de uitwisseling van informatie en beste praktijken tussen lidstaten moet vergemakkelijken.

De NIS2-richtlijn vertegenwoordigt dus een cruciale verschuiving in de manier waarop cybersecurity wordt aangepakt binnen de EU. Door een breder scala aan sectoren onder de richtlijn te brengen en strengere eisen te stellen, hoopt de EU een veerkrachtigere en veiligere digitale omgeving te creëren voor al haar lidstaten.

Wat zijn de verschillen tussen NIS en NIS2?

De overgang van NIS naar NIS2 markeert een belangrijke evolutie in de regelgeving rondom cybersecurity in Europa. Waar de oorspronkelijke NIS-richtlijn een stevige basis legde voor cyberveiligheid, biedt NIS2 een uitgebreidere en meer gedetailleerde benadering. Hier zijn de belangrijkste verschillen tussen de twee richtlijnen en wat ze betekenen voor organisaties:

Uitbreiding van de scope

Een van de meest opvallende veranderingen tussen NIS en NIS2 is de aanzienlijke uitbreiding van de scope. Terwijl de oorspronkelijke NIS-richtlijn zich richtte op een beperkt aantal sectoren, zoals energie, transport, en gezondheid, breidt NIS2 de lijst van sectoren aanzienlijk uit. Onder NIS2 vallen nu ook sectoren zoals digitale infrastructuur, voedselproductie, en de productie van kritieke producten【21†source】. Dit betekent dat een aanzienlijk groter aantal bedrijven en organisaties nu moet voldoen aan de strengere eisen van de richtlijn.

• Digitale infrastructuur: Onder NIS2 worden organisaties die verantwoordelijk zijn voor de digitale infrastructuur van een land, zoals internetdienstverleners, cloudproviders, en datacenters, nu expliciet opgenomen. Dit is essentieel omdat deze organisaties vaak de ruggengraat vormen van de digitale economie.
• Productie van kritieke producten: De uitbreiding naar de productie van kritieke producten betekent dat bedrijven die goederen produceren die cruciaal zijn voor het functioneren van de maatschappij, zoals medische apparatuur of chemicaliën, nu ook onder de richtlijn vallen. Dit is vooral belangrijk in sectoren zoals de zorg, waar de veiligheid en beschikbaarheid van producten van vitaal belang zijn.
• Voedselindustrie: De toevoeging van de voedselindustrie onderstreept het belang van het beschermen van de voedselvoorziening tegen mogelijke cyberdreigingen. Met de digitalisering van landbouw en voedselproductie neemt het risico op cyberaanvallen toe, wat de noodzaak van strengere beveiligingsmaatregelen benadrukt.

Strengere beveiligingsmaatregelen

Naast de uitbreiding van de scope, introduceert NIS2 ook strengere beveiligingsmaatregelen die organisaties moeten implementeren. Deze maatregelen zijn zowel technisch als organisatorisch van aard en leggen een grotere nadruk op proactieve beveiliging.

• Risicoanalyses: Onder NIS2 worden organisaties verplicht om regelmatige risicoanalyses uit te voeren om potentiële bedreigingen te identificeren en te mitigeren. Dit betekent dat bedrijven een grondig inzicht moeten hebben in hun IT- en OT-systemen (Operational Technology), vooral omdat deze systemen steeds vaker met elkaar verweven zijn. De nadruk op OT-beveiliging is nieuw en benadrukt het belang van het beschermen van fysieke infrastructuren tegen digitale aanvallen.
• Incidentrespons: Een andere belangrijke toevoeging is de vereiste voor een goed gedefinieerd incidentresponsplan. Organisaties moeten niet alleen in staat zijn om snel te reageren op cyberaanvallen, maar ook om deze aanvallen binnen 24 uur te melden aan de bevoegde autoriteiten.
• Supply Chain Security: Met de toename van complexe toeleveringsketens, legt NIS2 ook de nadruk op de beveiliging van de hele supply chain. Dit betekent dat organisaties verantwoordelijk zijn voor de cybersecurity van hun leveranciers en partners, wat een extra laag van complexiteit toevoegt aan het naleven van de richtlijn.

Verhoogde Verantwoordelijkheid voor het Management

NIS2 legt expliciet de verantwoordelijkheid voor cybersecurity bij het management van de organisatie. Dit betekent dat C-level executives, inclusief de CISO (Chief Information Security Officer), direct verantwoordelijk worden gehouden voor het implementeren van de vereiste beveiligingsmaatregelen.

• Verplichte training voor bestuursleden: Onder NIS2 moeten bestuursleden verplicht trainingen volgen om ervoor te zorgen dat ze over de nodige kennis beschikken om cybersecurityrisico’s te beoordelen en passende maatregelen te nemen. Deze verantwoordelijkheid kan niet worden gedelegeerd en bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor non-compliance.
• Aansprakelijkheid bij Non-Compliance: Een van de meest ingrijpende veranderingen is de introductie van strenge boetes voor non-compliance. De boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet van de organisatie, afhankelijk van wat hoger is. Dit benadrukt de ernst waarmee de EU deze regelgeving benadert en de noodzaak voor organisaties om volledig te voldoen aan de eisen van NIS2.

Voorbereiden

De overgang van NIS naar NIS2 brengt aanzienlijke veranderingen met zich mee die van invloed zijn op een breed scala aan sectoren. Organisaties moeten zich bewust zijn van de uitgebreidere scope, de strengere beveiligingsmaatregelen, en de verhoogde verantwoordelijkheid voor het management.

Wat betekent NIS2 voor een zorginstelling?

De komst van de NIS2-richtlijn brengt ingrijpende veranderingen met zich mee voor zorginstellingen die verantwoordelijk zijn voor de beveiliging van kritieke digitale infrastructuren. De zorgsector, waarin de veiligheid van patiëntgegevens en de continuïteit van zorgprocessen cruciaal zijn, moet zich voorbereiden op strengere eisen en nieuwe verplichtingen. Deze richtlijn is erop gericht de cyberweerbaarheid van zorginstellingen te verhogen en hen beter in staat te stellen om te gaan met de complexer wordende dreigingen.

Nalevingsverplichtingen voor zorginstellingen

Met de introductie van NIS2 worden zorginstellingen geconfronteerd met nieuwe en aangescherpte verplichtingen die gericht zijn op het versterken van hun cybersecuritypraktijken. Dit vraagt om een grondige evaluatie van de huidige beveiligingsmaatregelen en, indien nodig, de implementatie van verbeteringen om aan de nieuwe normen te voldoen.

• Uitgebreidere rapportagevereisten:
  Zorginstellingen zijn nu verplicht om ernstige cybersecurity-incidenten snel te melden. Binnen 24 uur na ontdekking van een incident moet er een eerste melding worden gedaan, gevolgd door een volledig rapport binnen 72 uur. Dit vereist dat instellingen beschikken over een gestroomlijnd meldingssysteem en goed voorbereide incidentresponsprocedures.
• Proactief toezicht:
  De NIS2-richtlijn introduceert een strenger toezichtregime, vooral voor instellingen die als ‘essentieel’ worden beschouwd. Dit houdt in dat zorginstellingen zich moeten voorbereiden op regelmatige controles en audits door toezichthouders, die willen verzekeren dat alle beveiligingsmaatregelen up-to-date en effectief zijn.
• Ketenbeveiliging:
  De beveiliging van de toeleveringsketen wordt steeds belangrijker. Zorginstellingen moeten ervoor zorgen dat hun leveranciers en andere externe partners voldoen aan dezelfde hoge beveiligingsnormen. Dit betekent dat contracten mogelijk moeten worden herzien en dat er extra maatregelen nodig zijn om de beveiliging binnen de gehele keten te waarborgen.
• Managementverantwoordelijkheid en training:
  Het is cruciaal dat het management, inclusief de CISO, zich volledig bewust is van hun rol en verantwoordelijkheid onder de NIS2-richtlijn. Het management moet niet alleen zelf op de hoogte zijn van de vereisten, maar ook zorgen voor regelmatige training van het personeel om een sterke beveiligingscultuur binnen de organisatie te waarborgen.

Risico’s bij het niet naleven van NIS2

Het niet naleven van de NIS2-richtlijn kan ernstige gevolgen hebben voor zorginstellingen. Naast financiële sancties zijn er risico’s die de operationele continuïteit en reputatie van de instelling in gevaar kunnen brengen.

• Hoogoplopende boetes:
  De boetes voor het niet voldoen aan NIS2 kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor zorginstellingen met gevoelige financiële posities kan dit een aanzienlijke bedreiging vormen voor hun voortbestaan.
• Schade aan vertrouwen en reputatie:
  Zorginstellingen die betrokken raken bij een cyberincident en dit niet tijdig rapporteren, lopen het risico het vertrouwen van hun patiënten, partners en het publiek te verliezen. Vertrouwen is essentieel in de zorgsector, en een beschadiging daarvan kan leiden tot een afname van patiënten en potentiële inkomsten.
• Verhoogde cyberrisico’s:
  Instellingen die achterblijven in hun naleving van NIS2, worden kwetsbaarder voor cyberaanvallen. Een gebrek aan adequate beveiligingsmaatregelen maakt hen een gemakkelijk doelwit voor kwaadwillenden, wat kan resulteren in kostbare en schadelijke incidenten.

Praktische stappen om NIS2-compliance te bereiken

Zorginstellingen moeten nu stappen ondernemen om ervoor te zorgen dat ze voldoen aan de NIS2-eisen. Hieronder volgen enkele concrete maatregelen die onmiddellijk kunnen worden geïmplementeerd:

• Uitvoeren van een risicoanalyse:
  Begin met een grondige risicoanalyse om de huidige beveiligingspositie van de instelling te beoordelen. Identificeer zwakke punten en ontwikkel een plan om deze aan te pakken voordat ze door dreigingen kunnen worden uitgebuit.
• Ontwikkelen van een incident response plan:
  Zorg voor een robuust en getest incidentresponsplan dat snel kan worden ingezet bij een cyberaanval. Dit plan moet specifiek gericht zijn op het voldoen aan de nieuwe rapportageverplichtingen van NIS2.
• Training en bewustwording verhogen:
  Implementeren van regelmatige trainingsprogramma’s voor alle medewerkers, met speciale aandacht voor management- en IT-teams. Deze training moet gericht zijn op het herkennen van en reageren op cyberdreigingen in lijn met de NIS2-richtlijn.
• Beoordeling van leverancierscontracten:
  Zorg ervoor dat alle externe partners en leveranciers voldoen aan de NIS2-normen door middel van grondige beoordelingen en, indien nodig, contractuele verplichtingen. Dit helpt bij het verminderen van risico’s die voortvloeien uit de toeleveringsketen.

NIS2 en de impact op grote zorginstellingen

De NIS2-richtlijn markeert een belangrijke stap in de verbetering van cybersecurity binnen Europa, specifiek gericht op sectoren zoals de zorg. Grote zorginstellingen moeten nu proactief handelen om compliant te blijven en hun cyberweerbaarheid te versterken. De CISO speelt hierbij een cruciale rol om de implementatie van NIS2 binnen de organisatie te waarborgen.

Belangrijke stappen voor zorginstellingen:

• Uitvoeren van een Risicoanalyse: Identificeer kwetsbaarheden en pas beveiligingsmaatregelen aan volgens de nieuwe eisen van NIS2.
• Beleidsontwikkeling: Zorg voor een up-to-date cybersecuritybeleid dat voldoet aan de strengere eisen, inclusief incidentrespons en rapportage.
• Training en bewustwording: Train medewerkers, inclusief het management, om te voldoen aan de verhoogde verantwoordelijkheden en aansprakelijkheid onder NIS2.
• Continue monitoring en verbetering: Implementeer systemen voor voortdurende monitoring en verbeter de beveiliging om nieuwe dreigingen voor te blijven.

Door nu actie te ondernemen, kunnen zorginstellingen niet alleen voldoen aan NIS2, maar ook hun digitale weerbaarheid aanzienlijk verbeteren, wat cruciaal is voor het beschermen van gevoelige patiëntgegevens en het voorkomen van operationele verstoringen.