1 minute read
NIS2: ook voor MSP’s EN MSSP’s
De NIS Directive uit 2016 was de eerste Europese cybersecuritywet. Deze richtlijn moest een hoge mate van Europese cyberweerbaarheid creëren en introduceerde beveiligingseisen en meldplichten voor ‘vitale aanbieders’. Evaluatie van de NIS liet onder meer zien dat het toepassingsbereik (‘scope’) te beperkt was en lidstaten de beveiligingseisen op een verschillende manier interpreteerden. Reden waarom gewerkt is aan een opvolger: de ‘NIS2’.
Basic security elements
De NIS2 gaat voor veel meer bedrijven gelden, en onder meer regels stellen aan managed service providers (MSP’s) en managed security service providers (MSSP’s). Mede ter beheersing van de veiligheidsrisico’s van de netwerk- en informatiesystemen die zij gebruiken om hun diensten aan te bieden, zullen MSP’s en MSSP’s verplicht zijn:
• passende en evenredige technische, operationele en organisatorische maatregelen te nemen; • ernstige IT-incidenten te melden bij de toezichthoudende autoriteit of de CSIRT.
Nieuw aan de NIS2 is dat het een lijst bevat van 10 ‘basic security elements’, dat in feite aangeeft uit welke elementen die beveiligingsmaatregelen in ieder geval moeten bestaan. Onder meer wordt genoemd: beleid inzake risicoanalyse, incidentenbehandeling, beveiliging van de toeleveringsketen, basispraktijken op het gebied van cyberhygiëne, cybersecurity opleiding en indien passend het gebruik van MFA of beveiligde spraak-, video- en tekstcommunicatie. Deze vereisten zullen later nog op Europees niveau worden uitgewerkt en gespecificeerd (met hulp van het agentschap ENISA).
3-traps-raket
De procedure voor het melden van ernstige ITincidenten is ook gewijzigd. Bij de NIS2 is sprake van een zogenaamde 3-traps-raket: een kennisgeving versturen binnen 24 uur, binnen 72 uur een meer inhoudelijke (vervolg)melding en het indienen van een eindverslag binnen 1 maand. De NIS2 vereist ook dat MSP’s en MSSP’s bij toepassing van hun beveiligingsbeleid specifiek aandacht geven aan de supply chain: rekening moet worden gehouden met specifieke kwetsbaarheden van elke leverancier en dienstverlener in de keten!
Ook nieuw is dat de NIS2 ‘boardroom liability’ introduceert: het management kan verantwoordelijk worden gehouden voor falend cybersecuritybeleid.
Volledig compliant
De NIS2 Directive is onlangs aangenomen en formeel in werking getreden, en de nieuwe regels zullen uiterlijk in oktober 2024 door de lidstaten moeten worden omgezet in nationale wetgeving. In Nederland zal daartoe de cybersecuritywet ‘Wbni’ worden aangepast. Er is nog tijd, maar MSP’s en MSSP’s doen er verstandig aan om hun huidige (interne) beveiligingsbeleid af te stemmen op de NIS2 zodat zij volledig compliant zijn en boetes worden vermeden. In dat verband lijkt het ook raadzaam om de contracten met toeleveranciers te reviewen, met focus op de beveiligingsclausules.
