NIS2: drie mythes rondom de nieuwe cyberrichtlijn ontrafeld

Als hackers een vitale infrastructuur treffen, kan bijvoorbeeld de (digitale) zorg in een ziekenhuis volledig stilvallen. Dit gevaar wordt alsmaar dreigender nu ransomware steeds meer om zich heen grijpt. De zorg behoort zelfs tot een van de meest getroffen sectoren. De EU komt vanwege de toename van cybercrime met NIS2, een richtlijn voor lidstaten om weerbaarder te zijn tegen cyberaanvallen, die vanaf oktober 2024 ingaat. Daar is inmiddels al veel over gezegd en geschreven, maar niet alles wat je leest klopt. In deze blog weerleggen we drie hardnekkige NIS2-mythes.

1. “Het is niet precies duidelijk voor wie NIS2 relevant is.” 

Dit is wel degelijk bekend. De richtlijn is van toepassing voor essentiële organisaties in deze elf sectoren: 

• energie

• transport

• bankwezen

• infrastructuur

• gezondheidszorg

• drinkwater

• digitale infrastructuur

• beheerders van ICT-diensten

• afvalwater

• overheidsdiensten

• ruimtevaart

Hierbij geldt een minimum van 250 werknemers of een jaaromzet van 50 miljoen euro of meer. Behalve van essentiële organisaties spreekt de richtlijn ook van ‘belangrijke organisaties’. Dat zijn bedrijven of instellingen vanaf 50 werknemers (tot 250) of met een omzet vanaf 10 miljoen. Deze zijn actief in de hierboven genoemde sectoren, aangevuld met:

• digitale aanbieders

• post- en koeriersdiensten

• afvalstoffenbeheer

• levensmiddelen

• chemische stoffen

• onderzoek

• maakindustrie

2. “Er is nog veel onduidelijk zolang NIS2 niet in de Nederlandse wetgeving is opgenomen.”

Er is juist al heel veel wel bekend. Bijvoorbeeld dat er een meldplicht komt, die wil dat je binnen 24 uur melding maakt bij jouw toezichthouder van een serieuze verstoring. Het klopt weliswaar dat nog niet vaststaat om welke instantie het gaat, maar je kunt er nu al rekening mee houden dat die om relevante informatie mag én zal vragen. Je moet dus goede antwoorden kunnen geven over je beveiligingsbeleid en de naleving daarvan. Instanties als Enisa (Europa) en Digital Trust Center (Nederland) brengen volop artikelen uit die je helpen om je digitale weerbaarheid te verhogen. 

3. “Je moet een Security Operations Center inrichten, dat 24/7 jouw IT-omgeving in de gaten houdt”

De richtlijn stelt dat je ‘passende en evenredige technische, operationele en organisatorische maatregelen’ moet nemen om je security naar een hoger volwassenheidsniveau moet tillen maar zegt niet welke dat moeten zijn. Voor de ene organisatie kan een Security Operations Center of SOC een passende maatregel zijn, voor een andere wegen de kosten van een SOC niet op tegen de risico’s die hiermee worden verminderd.

Bij NIS2 hoort echter wel dat je een risicobeoordeling uitvoert. Het is verplicht om die niet alleen tot je IT te beperken, maar ook factoren als brand, diefstal en overstroming mee te nemen. Die kunnen immers ook je bedrijfscontinuïteit in gevaar brengen.

KEMBIT: jouw hulp bij NIS2

Wil je straks in ieder geval de basis op orde hebben en serieuze schade in de toekomst voorkomen, dan is het belangrijk dat je op tijd met de voorbereidingen begint. Kun je daar wel wat hulp bij gebruiken? KEMBIT is een ervaren partij met kennis van de zorgsector, die jou kan helpen met advies over maatregelen, met de implementatie en met trainingen.

In onze whitepaper NIS2 in de praktijk: alles wat je moet weten om op tijd klaar te zijn lees je meer over de stappen die je kunt zetten om op tijd klaar te zijn voor NIS2. We hebben deze stappen ook voor je op een rij gezet in een overzichtelijke checklist. Heb je nog vragen? Neem dan contact met ons op.