De NIS2-richtlijn, een opvolger van de oorspronkelijke NIS-richtlijn, heeft de cyberbeveiligingswereld in Europa op zijn kop gezet. Twee van de meest besproken aspecten van deze richtlijn zijn de 'zorgplicht' en de 'meldplicht'. Hoewel ze vaak in één adem worden genoemd, hebben ze verschillende implicaties en verantwoordelijkheden voor organisaties.

Het belangrijkste verschil tussen de zorgplicht en de meldplicht is hun focus. Terwijl de zorgplicht zich richt op preventieve maatregelen om cyberdreigingen te voorkomen, richt de meldplicht zich op het reageren op en melden van beveiligingsincidenten. Zowel de zorgplicht als de meldplicht geldt voor alle organisaties die onder de NIS2-richtlijn vallen. Laten we dieper ingaan op deze twee plichten.

De zorgplicht

De zorgplicht in de NIS2-richtlijn benadrukt het belang van proactieve cyberbeveiliging. Organisaties worden aangemoedigd om een holistische benadering van beveiliging te hanteren, waarbij niet alleen technologie, maar ook mensen en processen worden betrokken. Door te voldoen aan de zorgplicht, kunnen organisaties niet alleen voldoen aan wettelijke vereisten, maar ook het vertrouwen van hun klanten en stakeholders versterken en hun activa beschermen tegen cyberdreigingen.

De zorgplicht verwijst naar de verantwoordelijkheid van zowel vitale aanbieders als digitale dienstverleners om passende technische en organisatorische maatregelen te nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten ervoor zorgen dat systemen bestand zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid ervan in gevaar kunnen brengen.

Met de komst van de NIS2-richtlijn is er een nieuw onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Beide soorten entiteiten moeten nu aan deze zorgplicht voldoen. De richtlijn specificeert minimummaatregelen, namelijk:

  • Risicoanalyses: Organisaties moeten regelmatig hun systemen en processen evalueren om potentiële kwetsbaarheden en dreigingen te identificeren.
  • Beveiligingsbeleid: Er moet een duidelijk beleid zijn dat de beveiligingsprotocollen, verantwoordelijkheden en procedures definieert.
  • Incidentbeheer: Organisaties moeten protocollen hebben voor het reageren op en herstellen van beveiligingsincidenten.
  • Training en Bewustwording: Medewerkers moeten worden opgeleid en regelmatig worden bijgeschoold over de nieuwste cyberdreigingen en beste praktijken voor beveiliging.

De meldplicht

De meldplicht bestaat op dit moment al in de huidige NIS-richtlijn. De meldplicht is echter uitgebreid, waardoor organisaties toch opnieuw moeten analyseren of zij kunnen voldoen aan de meldplicht. Het verplicht organisaties om beveiligingsincidenten, die aanzienlijke gevolgen kunnen hebben voor de continuïteit van hun dienstverlening, te melden. Dit kan variëren van datalekken tot grootschalige cyberaanvallen.

We spreken over een incident zodra er een daadwerkelijk schadelijk effect is op de beveiliging van netwerk- en informatiesystemen. Dit betekent dan ook dat niet elk incident gemeld hoeft te worden. De meldplicht is specifiek voor incidenten die:

  • Een daadwerkelijk schadelijk effect hebben op de beveiliging van netwerk- en informatiesystemen. Hierbij wordt gekeken naar de omvang van de aanval, bijvoorbeeld hoeveel gebruikers er getroffen zijn, hoelang het incident geduurd heeft en hoe groot het getroffen gebied (geografisch gezien) is.
  • Kunnen leiden tot aanzienlijke operationele verstoringen of financiële verliezen.
  • Materiële of immateriële schade kunnen veroorzaken aan natuurlijke of rechtspersonen.

De twee-fasen-aanpak

De NIS2-richtlijn heeft een 'twee-fasen-aanpak' geïntroduceerd voor het melden van incidenten:

  • Eerste Melding: Binnen 24 uur na ontdekking van het incident moet een initiële melding worden gedaan. Deze melding moet de basisinformatie over het incident bevatten en, indien mogelijk, aangeven of het incident het gevolg is van een onwettige of kwaadwillige handeling.
  • Eindmelding: Binnen een maand na de eerste melding moet een gedetailleerd rapport worden ingediend. Dit rapport moet een uitgebreide beschrijving van het incident bevatten, de gevolgen, de waarschijnlijke oorzaak en de genomen maatregelen.

 

Significante cyberbedreigingen

Een van de opvallende toevoegingen aan de NIS2-richtlijn is de nadruk op ‘significante cyberbedreigingen’. Dit verwijst naar een potentiële cyberaanval of kwetsbaarheden die, indien geëxploiteerd, kunnen leiden tot aanzienlijke operationele verstoringen financiële verliezen, of materiële of immateriële schade aan zowel organisaties als individuen. Enkele voorbeelden van een significante cyberdreigingen zijn geavanceerde persistente bedreigingen (APT's), grootschalige ransomware-aanvallen of zero-day kwetsbaarheden in veelgebruikte software. Hierdoor worden organisaties verplicht om niet alleen reageren op incidenten nadat ze zich hebben voorgedaan, maar ook vooruit te kijken, potentiële dreigingen te identificeren en deze informatie te delen om het bredere digitale ecosysteem te beschermen.

 

Zo ga je om met een significante cyberdreiging

Onder de NIS2-richtlijn moeten entiteiten elke significante cyberbedreiging die ze identificeren en die tot een significant incident kan leiden, melden. Dit betekent dat organisaties niet alleen reactief moeten zijn bij daadwerkelijke beveiligingsincidenten, maar ook proactief moeten handelen bij het identificeren van potentiële dreigingen.

Het vroegtijdig identificeren en melden van significante cyberbedreigingen stelt autoriteiten in staat om:

  • Andere organisaties te waarschuwen die mogelijk ook kwetsbaar zijn.
  • Samen te werken met de private sector en cybersecurity-experts om tegenmaatregelen te ontwikkelen.
  • Het publiek te informeren over potentiële risico's en hen te adviseren over beschermende maatregelen.

Praktische voorbeelden

  • Zorgplicht: Een ziekenhuis implementeert een geavanceerd firewall-systeem om patiëntgegevens te beschermen tegen externe dreigingen. Ze voeren ook regelmatig beveiligingsaudits uit om ervoor te zorgen dat hun systemen up-to-date en veilig zijn.
  • Meldplicht: Een e-commercebedrijf ontdekt dat hun klantendatabase is gehackt en creditcardgegevens zijn gestolen. Ze melden het incident onmiddellijk aan de bevoegde autoriteit en informeren ook hun klanten over de inbreuk, zoals vereist onder de meldplicht.

Conclusie

De NIS2-richtlijn heeft de lat voor cyberbeveiliging in Europa verhoogd. Het is van cruciaal belang voor organisaties om de nuances van zowel de zorgplicht als de meldplicht te begrijpen en ervoor te zorgen dat ze aan beide voldoen. Hoewel ze verschillende aspecten van cyberbeveiliging behandelen, zijn ze beide essentieel voor het waarborgen van de veiligheid en veerkracht van netwerk- en informatiesystemen in Europa.

Heeft jouw organisatie hulp nodig met de voorbereiding op de NIS2-wetgeving? Neem dan contact op met Patrick Voss. Heb je je nog niet ingeschreven voor de nieuwsbrief? Doe dat dan nu via onderstaande button, zodat je nooit een NIS2-update mist!

NIS2-updates ontvangen

Patrick Voss

Solution advisor security

T +31 88 7078 315
patrick.voss@bechtle.com