Wat betekenen de CER en NIS2 richtlijnen voor jouw organisatie?

[Ben Avôt]

Update oktober 2024:   Zie hier de huidige stand van zaken rondom NIS2

 

Wat zijn de CER- en NIS2-richtlijnen?

 

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan twee richtlijnen, de Critical Entities Resilience (CER) directive en de Network and Information Security (NIS2) directive. Beide richtlijnen zijn gericht op een verbetering van de fysieke, digitale en economische weerbaarheid van Europese lidstaten.

 

De CER-richtlijn richt zich op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van NIS2-richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

 

Wat betekenen de CER en NIS2 richtlijnen voor jou organisatie?

 

De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijnen op te nemen in nationale wetgeving. Zo moet volgens beide richtlijnen een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Hieronder wordt samengevat welke verplichtingen de CER- en NIS2-richtlijnen voorschrijven en voor welke sectoren ze gaan gelden, zodat organisaties zich een beeld kunnen vormen van de verplichtingen waaraan ze eind 2024 mogelijk moeten voldoen.

 

Dit beeld roept waarschijnlijk vragen op die op dit moment helaas nog niet beantwoord kunnen worden, simpelweg omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. In het najaar 2023 start een consultatie-periode waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijnen naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden.

 

Wat kunnen organisaties alvast doen om zich voor te bereiden?

 

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Op de website van het Nationaal Cyber Security Centrum (NCSC) en op de website van het Digital Trust Center staan bijvoorbeeld een aantal maatregelen die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:

·         In kaart brengen van de gebruikte netwerk- en informatiesystemen

·         Inventariseren en analyseren van risico’s.

·         Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing en het organiseren van incident response.

·         Identificeren van alternatieve toeleveringsketens.

·         Bewustwording van personeel van risico’s en te nemen maatregelen.

·         In kaart brengen van de eigen assests (dus de eigen netwerk- en informatiesystemen)

 

Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.

 

Hou deze ontwikkelingen in de gaten.