Cybersecurity, het staat bij ons allen op het netvlies, als het goed is. Met regelmaat horen we verschrikkelijke verhalen over toestanden van de slachtoffers en de implicaties van Cybercrime. Dat is niet van de dag van gisteren en tot nu toe wordt het ieder jaar ernstiger.
Om die trend proberen te keren, heeft het Europese Parlement met de “NIS Directive” (Network and Information Systems) de richting gekozen om de digitale beveiliging van Europa op een hoger plan krijgen. Met deze Directive was het aan iedere lidstaat zelf om voor een bepaald tijdstip hier eigen wetgeving op maken. In Nederland is dat vertaald in de Wbni (Wet beveiliging netwerk- en informatiebeveiliging).
De Wbni, of ook wel NIS of NIB genoemd, richtte zich vooral op de grote spelers in Energie (bv centrales, infrastructuur), Water (transport, zuivering en afval), transport (bv Schiphol, Havens), Banken, Gezondheid (ziekenhuizen) en Digitaal (ISP als de KPNs en Ziggo’s en internetknooppunten). Ofwel, de organisaties die een zeer grote maatschappelijke functie hebben. Augustus 2016 is de Wbni wet in werking getreden.
Op 27 december 2022 is NIS2 Europees gepubliceerd en die is eind januari in werking getreden. Alle lidstaten hebben daarna 21 maanden om deze richtlijn in een wet om te zetten. In Nederland zal de reeds bestaande Wbni aangepast moeten worden. Wat daar de impact van gaat zijn op detail niveau is nog steeds niet helemaal duidelijk.
NIS2 is een verdieping van NIS. Er zijn aanzienlijk meer bedrijfskolommen toegevoegd, maar er is ook een nivellering gemaakt. Allereerst door verschil te maken tussen “Essentieel” en “Belangrijke” entiteiten. “Essentieel” zal proactief in de gaten gehouden worden doormiddel van bijvoorbeeld periodieke rapportages die verlangd gaan worden. Represailles zijn voor Essentiële entiteiten ook aanzienlijk zwaarder. “Belangrijke” entiteiten zijn veelal kleinere organisaties, worden reactief in de gaten gehouden en hebben minder zware represailles. Alleen wanneer er een “verdenking” is zal om informatie gevraagd worden.
Maar om het toch weer ingewikkeld te maken, kan het zijn dat een bedrijf in de Belangrijk kolom zit maar door omvang (financieel, reikwijdte, supply chain of anderzijds) in Essentieel ingedeeld wordt. Daar is nog niet alles duidelijkheid over. Uitgangspunt is wel dat de entiteiten dat zelf moeten uitzoeken. De toezichthouder zal uiteindelijk contact leggen omdat de dienstverlening van de entiteit anders wordt gezien dan is opgegeven. En dát geldt voor alle entiteiten van groot naar klein.
Deze nieuwsbrief is bedoeld als een wake-up call. Er zal nog veel veranderen en daar zullen wij, als Bedrijfskring, zeker berichtgeving over doen. Belangrijk is om in ieder geval te weten dat NIS2 er aankomt. Het is overigens ook zonder de komst van NIS2 van groot belang om binnen uw organisatie serieus te kijken naar Cybersecurity en om uw bedrijf Cyber-bewust te maken. Wordt dus vervolgd.
