Wat is de NIS2

Wat is de NIS2

Achtergrond: NIS2 is een herziening van de oorspronkelijke NIS-richtlijn en heeft tot doel de weerbaarheid van netwerken en informatiesystemen in de EU te vergroten. Het is van toepassing op aanbieders van essentiële diensten (OES’en) en digitale dienstverleners.

Wat wil NIS2 bereiken?

NIS2 wil ervoor zorgen dat de computersystemen die essentiële diensten aanbieden, zoals energievoorziening, transport, gezondheidszorg en financiën, beter beschermd zijn tegen cyberaanvallen. Ook wil het regels vaststellen voor bedrijven die online diensten aanbieden, zoals zoekmachines en clouddiensten.

Doel van de richtlijn: NIS2 heeft tot doel de cybersecurity van netwerken en informatiesystemen binnen de EU te verbeteren. Het richt zich met name op het waarborgen van de continuïteit van essentiële diensten en digitale dienstverleners, evenals het bevorderen van een hoog niveau van beveiliging van netwerken en informatiesystemen.


Wie moet aan de NIS2 voldoen

In het kort: Aanbieders zijn van een essentiële dienst en digitale dienstverleners.

Iets uitgebreider: Bedrijven die als essentieel worden beschouwd voor de samenleving (OES’en) en bedrijven die online diensten aanbieden (zoals online winkels, zoekmachines en clouddiensten) moeten zich aan NIS2 houden.

De aanbieder zijn van een essentiële dienst wordt afgekort met (OES) en dit staat voor Operators van ESsentiële diensten. Meer info: https://www.nctv.nl


Verschil OES en digitale dienstverlener

De belangrijkste verschillen tussen aanbieders van essentiële diensten (OES’en) en digitale dienstverleners zijn:

  1. Sector: Aanbieders van essentiële diensten zijn actief in sectoren die essentieel zijn voor de maatschappij en economie, zoals energie, transport, banken, gezondheidszorg en digitale infrastructuur. Digitale dienstverleners zijn daarentegen bedrijven die digitale diensten leveren, zoals online marktplaatsen, zoekmachines, clouddiensten en sociale medianetwerken.
  2. Impact van diensten: OES’en leveren diensten die van vitaal belang zijn voor de maatschappij en economie, en de verstoring of uitval ervan kan ernstige gevolgen hebben voor de samenleving. Digitale dienstverleners bieden daarentegen voornamelijk online diensten aan en de impact van verstoringen op hun diensten kan variëren afhankelijk van de aard van de dienst.
  3. Regelgeving en verplichtingen: OES’en worden onderworpen aan strengere regelgeving en verplichtingen op het gebied van cybersecurity, zoals vastgelegd in de Network and Information Security Directive (NIS2). Deze verplichtingen zijn gericht op het waarborgen van de continuïteit van essentiële diensten en het minimaliseren van de impact van cybersecurityincidenten. Digitale dienstverleners hebben ook verplichtingen onder de NIS2, maar deze kunnen verschillen van die van OES’en vanwege de aard van hun diensten.
  4. Complexiteit van diensten: De diensten die door OES’en worden geleverd, kunnen vaak complexer zijn en afhankelijk van een breed scala aan systemen en infrastructuur. Dit kan de uitdagingen op het gebied van cybersecurity vergroten. Digitale dienstverleners kunnen echter ook te maken krijgen met complexe systemen, maar hun diensten zijn mogelijk minder gevarieerd in vergelijking met die van OES’en.

Kortom, hoewel beide categorieën bedrijven verplichtingen hebben op het gebied van cybersecurity onder de NIS2-richtlijn, verschillen ze in de aard van hun diensten, de impact van verstoringen en de complexiteit van hun operaties.


Overlap met andere normen

De Europese richtlijn is gericht op het verhogen van de cybersecurity in de EU-lidstaten. Maar er zijn meer normen die zich richten op het verhogen van cybersecurity. Er is dan ook een mapping gemaakt tussen de NIS2, ISO 27002 en de Baseline Informatiebeveiliging Overheid (BIO). Belangrijkste punten om te vermelden:

  1. Scope: De NIS2-richtlijn heeft een bredere reikwijdte dan ISO 27002 en BIO, omdat het zich niet alleen richt op informatiebeveiliging, maar ook op de bescherming van vitale diensten en infrastructuren.
  2. Alignment met ISO 27002 en BIO: De analyse identificeert een aanzienlijke overlap tussen de vereisten van NIS2, ISO 27002 en BIO. Veel van de beveiligingsmaatregelen en best practices die worden voorgesteld in ISO 27002 en BIO zijn relevant voor het voldoen aan de eisen van NIS2.
  3. Aanvullende vereisten van NIS2: Naast de gemeenschappelijke beveiligingsmaatregelen, introduceert NIS2 specifieke vereisten voor OES’en en digitale dienstverleners, zoals de verplichting om risicobeoordelingen uit te voeren, passende beveiligingsmaatregelen te implementeren en incidenten te melden bij de nationale autoriteiten.
  4. Implementatie en naleving: Organisaties die al voldoen aan ISO 27002 en BIO hebben een goede basis om te voldoen aan de vereisten van NIS2. Ze moeten echter extra stappen ondernemen om specifieke NIS2-vereisten aan te pakken, zoals het identificeren van essentiële diensten, het uitvoeren van risicobeoordelingen en het ontwikkelen van incidentresponsplannen.

Wat moeten bedrijven doen

OES’en en online dienstverleners moeten risico’s voor hun computersystemen identificeren en maatregelen nemen om die risico’s te verminderen. Ze moeten ook cyberaanvallen melden aan de autoriteiten en aan hun klanten wanneer die van invloed zijn op de beschikbaarheid of veiligheid van hun diensten.

Hiervoor moeten zij risicobeoordelingen uitvoeren, passende beveiligingsmaatregelen implementeren, incidenten melden bij nationale autoriteiten en voldoen aan beveiligings- en meldingsvereisten zoals vastgesteld in de richtlijn.


Meer informatie in mijn andere blogs over de NIS2:

NIS2 uitgelegd.

NIS2 hoofdstuk 2, 3 en 4 van deze richtlijn uitgelegd.

De verantwoordelijkheden van OES’en conform de NIS2 met verwijzing naar de hoofdstukken en paragrafen.

De verantwoordelijkheden van digitale dienstverleners conform de NIS2 met verwijzing naar de hoofdstukken en paragrafen.

Stapsgewijze handleiding implementatie NIS2 voor OES’en.

Stapsgewijze handleiding implementatie NIS2 voor digitale dienstverleners.