3 minute read
De impact van NIS2 kan groot zijn voor msp’s
Cyberincidenten zijn aan de orde van de dag. De snelle opmars van cloud en het feit dat we sinds de pandemie vaak buiten de traditionele en beveiligde kantooromgeving werken maken nieuwe regelgeving noodzakelijk. Daarom heeft de Europese Unie stappen ondernomen om een robuust en veerkrachtig cyberbeveiligingssysteem te creëren. Een belangrijk onderdeel van dit systeem is de Network and Information Security Directive 2, afgekort als NIS2. Tekst: Mels Dees
1
Wat is NIS2?
NIS2 is een herziening van de oorspronkelijke Network and Information Security Directive (NIS) die in 2016 werd aangenomen. Het doel van NIS2 is het versterken van de cyberbeveiliging binnen de EU door middel van betere samenwerking tussen lidstaten en bedrijven en het bevorderen van een hoog niveau van beveiligingsmaatregelen bij essentiële dienstverleners en digitale dienstverleners. 2
Krijgen msp’s te maken met NIS2?
Absoluut. Een van de belangrijkste aspecten van NIS2 is de uitbreiding van de reikwijdte. Terwijl voorloper NIS zich voornamelijk richtte op essentiële sectoren zoals energie, transport, gezondheid en financiën, omvat NIS2 ook digitale dienstverleners. Denk daarbij onder meer aan online marktplaatsen, clouddiensten en zoekmachines. Door deze uitbreiding wil de EU een breder scala aan cyberdreigingen aanpakken. 3 bracht. Je krijgt daar geen bericht over van de overheid, je bent er zelf verantwoordelijk voor na te gaan of je onder de regelgeving valt. Msp’s die onder NIS2 vallen, moeten passende technische en organisatorische maatregelen nemen om de beveiliging van hun systemen en netwerken te waarborgen. Denk daarbij aan het implementeren van beveiligingsmaatregelen om cyberaanvallen te voorkomen, te detecteren en te bestrijden. MSP’s moeten ervoor zorgen dat ze up-to-date blijven met de nieuwste beveiligingsmethoden en -technologieën om aan deze eisen te voldoen.
4Gaat de overheid ook handhaven?
Waar moeten msp’s rekening mee houden?
Als een msp digitale diensten aanbiedt dan worden die automatisch onder de werkingssfeer van NIS2 ge-
Ja, er geldt straks een meldplicht. Bestuurders kunnen hoofdelijk aansprakelijk worden gesteld in geval van een cyberincident. Je kunt de meldplicht in zekere zin vergelijken met de regelgeving over datalekken sinds de invoering van de AVG. Msp’s moeten ernstige cyberbeveiligingsincidenten melden bij de autoriteiten. Deze meldingsplicht heeft tot doel snelle reacties op incidenten te bevorderen en de gevolgen ervan te beperken. Het is belangrijk voor msp’s om interne processen voor het identifi- ceren, beoordelen en rapporteren van incidenten te ontwikkelen om aan deze verplichting te voldoen.
5
Dit is dan weer een behoorlijke administratieve last!
Dat kan zeker het gevolg zijn. De implementatie van NIS2 zal uitdagingen met zich meebrengen. Het kan behoorlijke inspanningen vergen van dienstverleners om te voldoen aan de gestelde eisen. En om een hoog niveau van cyberbeveiliging te waarborgen. Bovendien moeten er adequate middelen worden ingezet om het systeem effectief te laten functioneren.
6
Je bedoelt dat het me geld en tijd kost. Krijg ik er als msp ook nog iets voor terug?
De verwachting is dat msp’s van NIS2 kunnen profiteren. NIS2 is sterk gericht op samenwerking tussen verschillende partijen in de ketens. Waarschijnlijk kunnen msp’s profiteren van deze samenwerking door te leren van best practices en gezamenlijke inspanningen om cyberdreigingen te verminderen. En dat is nog niet alles: NIS2 intro- duceert ook een Europees cybersecurity-certificeringsschema om producten, diensten en processen te certificeren volgens EU-normen. msp’s kunnen profiteren van deze certificering om hun klanten te laten zien dat ze voldoen aan de vereiste beveiligingsnormen, wat dan weer kan helpen bij het opbouwen van vertrouwen en geloofwaardigheid. 7
Nou, nou. Wat is de planning en wat kan ik nu doen?
Nu wordt het ingewikkelder. De EU heeft weliswaar besloten de richtlijn in te voeren, maar elk land geeft er een eigen invulling aan. Zoals de AVG de Nederlandse uitwerking was van de algemenere GDPR, zo komt Nederland ook met een eigen versie van NIS2. En die is er nog niet. Toch is er al heel wat werk verzet. Op 28 november 2022 stelde de Europese Raad de NIS2-richtlijn vast. Die is op 27 december gepubliceerd en daarmee rechtsgeldig. In januari 2023 startte de implementatietermijn van 21 maanden, waarin de richtlijn moet worden opgenomen in nationale wetgeving. Dat is dus de huidige stand van zaken. Het is de bedoeling dat een internetconsultatie wordt georganiseerd waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving. Die consultatie, die zes weken moet duren, is al een paar keer uitgesteld en staat nu voor het najaar in de planning. De resultaten van de consultatie worden verwerkt in een wetsvoorstel. NIS2 moet dan eind 2024 in werking treden, als het Nederlandse parlement met de inhoud van de wet instemt. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de meldplicht voldoen.◾
