Veel werkzaamheden zijn afhankelijk van digitale systemen. Productie, logistiek, administratie en communicatie draaien bijvoorbeeld vaak op dezelfde infrastructuur. Als systemen uitvallen of gegevens in verkeerde handen komen, heeft dat gevolgen voor bedrijfsvoering en informatiebeveiliging.
Om organisaties beter te beschermen tegen digitale incidenten heeft de Europese Unie de NIS2-richtlijn opgesteld. Deze richtlijn beschrijft hoe cybersecurity wordt georganiseerd en welke verantwoordelijkheden daarbij horen.
Bij Van Voorst Consult zien we dat NIS2 vragen oproept, vooral over wanneer de regels precies gaan gelden. Voor veel bedrijven is dat het moment om een consultant informatiebeveiliging te betrekken. De richtlijn geldt al binnen de Europese Unie, terwijl Nederland nog werkt aan de wetgeving die deze regels invoert. Daardoor lijkt het soms alsof NIS2 tegelijk wel en nog niet geldt.
NIS2 geldt al binnen de Europese Unie
De NIS2-richtlijn (Network and Information Security Directive) ging op 16 januari 2023 in binnen de Europese Unie en vervangt de eerdere NIS-wetgeving uit 2016. Lidstaten moesten deze richtlijn uiterlijk 17 oktober 2024 verwerken in hun eigen wetgeving.
In Nederland gebeurt dat via de Cyberbeveiligingswet, die op dit moment nog wordt behandeld door het parlement. Zolang dat proces loopt, zijn de nieuwe verplichtingen nog niet van kracht.
Informatiebeveiliging gaat verder dan IT
De eerdere NIS-richtlijn uit 2016 richtte zich vooral op digitale infrastructuur. Met NIS2 verschuift de aandacht naar de manier waarop bedrijven hun digitale veiligheid organiseren.
Informatiebeveiliging ligt daardoor niet meer alleen bij IT. Het komt terug in hoe er wordt omgegaan met continuïteit, welke eisen aan leveranciers worden gesteld en welke keuzes op managementniveau worden gemaakt. Bestuurders krijgen hier een duidelijke rol in.
Dit komt terug in de manier waarop risico’s worden afgewogen en waar wel of niet in wordt geïnvesteerd.
Welke organisaties vallen onder NIS2?
NIS2 geldt voor organisaties die een belangrijke rol spelen in de economie en samenleving. In vergelijking met de eerdere NIS-wetgeving gaat het om meer sectoren.
Het gaat om sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur, aangevuld met drinkwater, afvalwater en financiële dienstverlening. Daarnaast speelt omvang een rol. Vooral middelgrote en grote organisaties binnen deze sectoren vallen onder de regels.
Voor deze sectoren gelden aanvullende eisen rond informatiebeveiliging. Dat betekent niet dat alles opeens herzien moet worden. Bij Van Voorst Consult denken we mee over hoe die eisen binnen de bestaande werkwijzen kunnen worden ingevuld.
Wat NIS2 concreet vraagt
NIS2 gaat over hoe informatiebeveiliging in de praktijk wordt ingericht. Organisaties moeten inzicht hebben in waar ze kwetsbaar zijn en welke maatregelen daarbij passen.
Dat komt terug in onderwerpen zoals risicoanalyses, beveiliging van systemen en gegevens, incidentenmanagement en de rol van leveranciers.
Waar NIS zich vooral richtte op een beperkte groep in specifieke sectoren, geldt NIS2 voor een bredere groep. De lat ligt hoger, met meer nadruk op onderbouwd risicobeheer, verantwoordelijkheid op bestuursniveau en toezicht.
Het verschil zit vooral in de samenhang: losse maatregelen zijn niet genoeg, er moet onderbouwd worden hoe keuzes tot stand komen en hoe daarop wordt gestuurd.
ISO 27001 als logisch vertrekpunt
We zien bij Van Voorst Consult dat ISO 27001 vaak wordt gebruikt als referentie voor het inrichten van informatiebeveiliging. Daarin staat beschreven hoe risico’s worden beoordeeld, welke maatregelen daarbij horen en hoe dat structureel wordt bijgehouden.
Dat maakt het een logisch vertrekpunt voor NIS2. Onderdelen zoals risicoanalyses, incidentafhandeling en het vastleggen van verantwoordelijkheden zijn daar al ingericht, waardoor de stap naar NIS2 vooral zit in het aanscherpen en aanvullen van wat er al is.
Van regels naar praktijk
De stap van NIS2 naar de praktijk zit in de vertaling van eisen naar de dagelijkse werkwijze. De inhoud ligt vast, de uitwerking verschilt per bedrijf.
Binnen Van Voorst Consult werken consultants in informatiebeveiliging die beginnen bij de huidige situatie en van daaruit naar gerichte stappen werken die aansluiten op de bedrijfsvoering. Dat kan gaan over het inrichten van processen rond incidenten, het verbeteren van bestaande maatregelen en de aansluiting op ISO 27001.
De focus ligt op oplossingen die werkbaar zijn binnen de organisatie zelf en voortbouwen op bestaande werkwijzen.
Waarom veel organisaties nu al beginnen
De Nederlandse wetgeving is nog in ontwikkeling. Tegelijk zijn de hoofdlijnen van NIS2 al duidelijk. Dat maakt het een logisch moment om te kijken hoe informatiebeveiliging nu is ingericht.
Dat kost tijd. Het gaat om het doorlopen van bestaande werkwijzen, het maken van keuzes en het vastleggen daarvan. Wie daar nu al mee begint, kan gericht toewerken naar wat NIS2 vraagt, zonder later onder tijdsdruk te moeten bijsturen.
Het kan dan helpen om iemand mee te laten kijken die dit soort trajecten regelmatig begeleidt. Van Voorst Consult ondersteunt dan in het analyseren van de bestaande werkwijze, om die vervolgens stap voor stap in lijn te brengen met de eisen uit NIS2.