Wat NIS2 eigenlijk is.
De Network and Information Security Directive van de EU, versie 2. Sinds oktober 2024 van kracht in de lidstaten. Het is een wet over cybersecurity en weerbaarheid, niet over privacy. Bedoeld om essentiële diensten en hun leveranciers moeilijker te ontwrichten te maken.
Boetes tot €10 miljoen of 2% van de omzet, afhankelijk van wat hoger is. Plus persoonlijke aansprakelijkheid voor bestuurders die cybersecurity niet serieus namen.
Voor wie het geldt.
- Essentiële entiteiten. Energie, transport, bankwezen, zorg, water, digitale infrastructuur, overheid. Streng regime.
- Belangrijke entiteiten. Post, afval, chemie, voeding, productie van medische apparatuur/computers/elektrische apparatuur, digitale aanbieders, onderzoek. Iets lichter.
- Toeleveringsketen. Lever je software, IT-diensten of gegevensverwerking aan een essentiële of belangrijke entiteit, dan val je via hen feitelijk ook onder NIS2.
- Aanbieders van digitale diensten. Cloud, datacenters, content delivery, online marktplaatsen, zoekmachines, sociale platforms, ongeacht omvang.
Belangrijkste eisen.
- Risicobeheer. Een gedocumenteerd raamwerk voor cybersecurity-risicobeheer. Periodiek herzien en bijgewerkt. Goedgekeurd door de directie.
- Incidentmelding. Significante incidenten binnen 24 uur na ontdekking gemeld aan het nationale CSIRT. Eindrapport binnen een maand.
- Beveiliging van de toeleveringsketen. Beoordeel en beheers cyberrisico's van leveranciers. Specifieke maatregelen per risiconiveau van de leverancier.
- Bedrijfscontinuïteit. Back-up, disaster recovery, crisismanagement. Minstens jaarlijks getest.
- Toegangsbeheer & MFA. MFA voor alle beheerderstoegang. Beheer van privileged accounts. Regelmatige controle.
- Omgaan met kwetsbaarheden. Een proces om kwetsbaarheden te ontvangen, te beoordelen en te verhelpen. Inclusief een coordinated-disclosurebeleid.
Boetes.
- Essentiële entiteiten. Tot €10 miljoen of 2% van de wereldwijde omzet. Inclusief bestuurdersaansprakelijkheid.
- Belangrijke entiteiten. Tot €7 miljoen of 1,4% van de wereldwijde omzet.
- Persoonlijke aansprakelijkheid. Bestuurders die compliance niet hebben geborgd, kunnen persoonlijk aansprakelijk worden gesteld, inclusief tijdelijke bestuursverboden.
- Handhaving. Inspecties ter plaatse, security-audits, ad-hocverzoeken. De cyber-tegenhanger van de privacytoezichthouder.
Acht stappen om er klaar voor te zijn.
- Bevestig je scope. Ben je essentieel, belangrijk, toeleverancier, of niets van dat alles? De criteria verschillen per sector. Zorg voor een antwoord op papier.
- Doe een gap-analyse. Tegen de volledige lijst met NIS2-maatregelen. Scoor elke maatregel als gedekt, gedeeltelijk of open.
- Leg het risicoraamwerk vast. Methodiek, scope, inventarisatie van assets, dreigingsmodel, behandelplan. Goedgekeurd door de directie.
- Stel het beleid op. Acceptabel gebruik, toegangsbeheer, encryptie, incident response, bedrijfscontinuïteit, leveranciersbeheer. Minimaal zes.
- Richt incident response in. Bepaal wat als significant geldt. Wie beslist. Wie meldt aan het CSIRT. De klok van 24 uur start bij ontdekking.
- Beoordeel je toeleveringsketen. Deel elke leverancier in op risico. Zorg dat elke leverancier een verwerkersovereenkomst en security-basislijn heeft. Voeg SBOM's toe voor softwareleveranciers.
- Train de directie. Cybersecurity-training op directieniveau. Aanwezigheid vastgelegd. NIS2 verwacht dat bestuurders het écht begrijpen.
- Monitor doorlopend. Detectie, logging, response. Elk kwartaal een interne review. Jaarlijks een tabletop-oefening.
Hoe AIR-Tools bij elk onderdeel helpt.
- Scopebepaling. Vijf vragen en Clair vertelt je of NIS2 van toepassing is en op welk niveau.
- Dekking van maatregelen. Live gap-analyse tegen de NIS2-artikelen. Wekelijks bijgewerkt.
- Conceptbeleid. Alle zes verplichte beleidsstukken, opgesteld in NIS2-bewoordingen.
- Incident-playbook. Klok van 24 uur, beslisboom, CSIRT-contact, conceptmeldingen.
- Leveranciersscores. Elke leverancier ingedeeld en gescoord, met de status van de verwerkersovereenkomst en SBOM waar relevant.
- Auditklaar bewijs. Als de inspecteur aanklopt, ligt het dossier er al.
De korte versie.
NIS2 is grotendeels het beveiligingswerk dat je toch al zou moeten doen. Gedocumenteerd. Clair maakt van die documentatie een bijproduct van het werk.