Nederlandse bedrijven lopen het risico internationale klanten te verliezen door NIS2-regelgeving, waarschuwde het Nederlandse platform voor digitale veiligheid Samen Digitaal Veilig waarschuwde eerder dit jaar. Bedrijven zoals Duitsland en België liggen op schema om de NIS2 deadline van 17 oktober dit jaar te halen. De Nederlandse overheid loopt echter achter met het implementeren van de NIS2-regelgeving in nationale wetgeving. Dit leidt ertoe dat Nederlandse bedrijven het risico lopen om buitenlandse klanten te verliezen: zonder wettelijke naleving mogen deze klanten mogelijk geen contracten afsluiten.
Binnen de Europese Unie zijn er grote verschillen tussen de rechtssystemen, wat de verschillen in implementatiesnelheid verklaart. Dit is niets nieuws, maar kan leiden tot tijdelijke problemen zoals hierboven genoemd.
Hoe staat het met de implementatie van NIS2 in de EU en hoe implementeren landen als Duitsland, Denemarken, Letland, Litouwen en België de cyberbeveiligingsmaatregelen in hun nationale wetgeving? In dit artikel verkennen we de ontwikkelingen en verschillen.
Wat is NIS2?
De tweede versie van de richtlijn voor netwerk- en informatiesystemen, beter bekend als de NIS2-richtlijn, is een regelgevende richtlijn die is ontworpen om de cyberbeveiligingshouding in de hele Europese Unie te verbeteren. Het belangrijkste doel van NIS2 is het verbeteren van de weerbaarheid tegen cyberbeveiligingsdreigingen binnen de EU.
NIS2 volgt de EU Cybersecurity Act die in 2016 werd geïntroduceerd, maar breidt de regels uit door het toepassingsgebied te vergroten zodat het een breder scala aan sectoren en entiteiten omvat, de vereisten te verhogen, toezicht in te voeren, de nadruk te leggen op de beveiliging van de toeleveringsketen en het melden van incidenten verplicht te stellen.
Organisaties die onder NIS2 vallen, moeten nu bijvoorbeeld binnen 24 uur na het bekend worden van een belangrijk incident een melding of vroegtijdige waarschuwing indienen bij hun nationale autoriteit. Ze moeten ook binnen 72 uur een incidentmelding doen en binnen een maand een eindrapport indienen. Dit is anders dan in de eerste NIS-verordening, die alleen voorschreef dat een melding 'zonder onnodige vertraging' moest worden ingediend.
NIS2 in Nederland
De wetgeving is misschien nog niet klaar, maar dat betekent niet dat bedrijven moeten wachten: de NIS2-verordening biedt al voldoende informatie voor essentiële en belangrijke entiteiten om met de voorbereidingen te beginnen. De Nederlandse overheid heeft al hulpmiddelen gepubliceerd om bedrijven te helpen zich voor te bereiden. Een daarvan is de NIS2 Quickscandie veertig vragen bevat die samen de staat van cyberbeveiliging bij uw organisatie bepalen. Weet u niet zeker of uw organisatie onder de NIS2-regeling valt? De overheid heeft een NIS2 Zelfevaluatie waarmee u kunt controleren of NIS2 op u van toepassing is, of uw organisatie als essentieel of belangrijk wordt gezien en of uw organisatie onder Nederlands toezicht valt.
NIS2 in de Europese Unie
Wat is de status van NIS2 in onze buurlanden? We spreken met NIS2-experts in de Baltische staten en bekijken de stand van zaken in de hele EU.
Letland
"Over het algemeen maken organisaties zich nog niet al te veel zorgen over NIS2", zegt Gatis Kauss van Hermitage Solutions in Letland. "Ze hebben ISO 27001 gehaald en verwachten niet al te veel veranderingen in NIS2."
Op 20 juni heeft de Letse regering geaccepteerd de nationale NIS2-wet, de nationale cyberbeveiligingswet. De wet introduceert een aantal belangrijke wijzigingen ten opzichte van de huidige Letse wet op informatietechnologie. Vanaf 1 september van dit jaar zal er een Nationaal Cyber Security Center worden opgericht, dat zal fungeren als centraal aanspreekpunt voor cyberbeveiligingskwesties en toezicht zal houden op de implementatie van nationale cyberbeveiligingsvereisten, alsmede nationale beleidsinitiatieven op het gebied van cyberbeveiliging zal ontwikkelen.
De functies van het Nationaal Cyberveiligheidscentrum zullen worden uitgevoerd door het ministerie van Defensie in samenwerking met de instelling voor preventie van cyberincidenten CERT.LV. Het CERT.LV zal verantwoordelijk zijn voor het reageren op cyberbeveiligingsincidenten, het monitoren van de situatie in cyberspace en het analyseren van bedreigingen, het waarborgen van de werking van het sensornetwerk, de DNS-firewall en beveiligingsoperatiecentra, en het voorlichten van het publiek over cyberbeveiligingskwesties.
"We gaan nu door een transformatieperiode tot april volgend jaar," voegt Gatis Kaus toe. "Wat we nu zien is een periode van relatieve rust, vanwege de zomervakantie. Maar ik verwacht dat er na de zomervakantie dingen gaan gebeuren."
De wet treedt op 1 september 2024 in werking. In de komende maanden zal het Letse ministerie van Defensie seminars organiseren om de sectoren waarop de nationale cyberbeveiligingswet van toepassing is, te informeren over de vereisten van de wet.
"Het is nu aan bedrijven om te beginnen met registreren, te beoordelen waar ze onder NIS2 vallen en wat ze moeten voorbereiden, na te denken over hoe dit hun budget beïnvloedt en zich voor te bereiden op volledige NIS2-compliance", voegt Gatis Kauss toe.
Litouwen
Vorige maand heeft de Litouwse regering een ontwerpvoorstelwaarin zij het Nationaal Cyberbeveiligingscentrum onder het ministerie van Nationale Defensie (NCSC) aanwijst als belangrijkste Litouwse instelling voor cyberbeveiliging. Het centrum zal verantwoordelijk zijn voor het uniforme beheer van cyberincidenten, het toezicht en de controle op de implementatie van cyberbeveiligingsvereisten en de accreditatie van informatiebronnen. Litouwen ligt op schema om de deadline van 17 oktober te halen.
"Dit is een goed begin, maar het werk begint nu pas", zegt Paulius Ceponis, Managing Director bij Hermitage Solutions Baltics. "We kunnen nu kijken naar de subwetten, die het belangrijkst zullen zijn: de subwetten zullen daadwerkelijk definiëren wat er wordt vereist van organisaties die onder NIS2 vallen."
Hermitage Solutions is actief betrokken bij de discussies over de Litouwse invoering van NIS2. "Er is op dit moment veel discussie gaande," zegt Paulius Ceponis. Hij maakt onderscheid tussen twee delen, de organisatorische en de technologische vereisten, en maakt zich zorgen over de implementatie van de laatste. "We zien dat sommige ideeën al achterhaald zijn: denk aan wachtwoorden en de lengte van wachtwoorden. We willen bijdragen aan deze discussie door input te leveren over de nieuwste aanbevelingen van bijvoorbeeld ENISA over deze kwesties."
Er is nog veel onduidelijk, merkt Paulius op. "Aanvankelijk gingen we ervan uit dat 22.000 Litouwse bedrijven onder NIS2 zouden vallen. Na herziening van de database kwam het Centrum erachter dat dit aantal was gedaald naar 3.500 tot 4.000, wat een grote daling is. Er zijn echter ook veel kleine bedrijven in Litouwen die niet aan de omzet of het aantal werknemers voldoen, maar wel in cruciale sectoren werken, zoals de energiesector. Zij zullen ook onder NIS2 vallen."
"Het zal tijd kosten voor bedrijven om zich aan te passen. Het doel van het Litouwse centrum voor cyberveiligheid is echter niet om politie te spelen. Hun doel is om de algehele situatie te verbeteren en ze zullen in dat opzicht geduldig zijn. Ze zullen waarschuwen en dan opnieuw controleren. Als het nog niet is opgelost, waarschuwen ze opnieuw. Na een derde waarschuwing zullen ze actie ondernemen."
Paulius verwacht niet dat de overgang snel zal gaan. "Er was veel hype in het begin van NIS2, maar er volgden wat twijfels over de aanpassing. Veel bedrijven zijn terughoudend om veranderingen door te voeren voordat de eigenlijke wetten en subwetten van kracht worden. Hoewel bedrijven zich aan het voorbereiden zijn, verwacht ik niet dat ze dit jaar nog echte budgetbeslissingen zullen nemen, omdat er nog te veel onduidelijk is. Ik zou rekenen op ongeveer twee jaar vanaf de officiële start totdat we proactieve veranderingen gaan zien."
"Op dit moment wordt voorgesteld om ISO 27001 te volgen, omdat dit een indicatie geeft van hoe goed je bent voorbereid op NIS2," zegt Paulius.
België
De Belgische overheid heeft besloten om de lijst van entiteiten en organisaties uit te breiden met extra sectoren en subsectoren die onder het NIS2-regime vallen - een mogelijkheid binnen de verordening. Entiteiten en organisaties zullen verplicht zijn om zichzelf te registreren bij het Belgisch Centrum voor Cyberbeveiliging (CCB), de nationale autoriteit voor cyberbeveiliging, binnen een bepaalde periode na de inwerkingtreding van de nationale wet.
Net als Nederland heeft België een platform waarop organisaties kunnen vinden of ze onder de scope vallen, hoe ze zich kunnen registreren en welke maatregelen ze moeten nemen met de CyberFundamental tools. Voor NIS1 hebben het CCB en CERT.be (het Cyber Emergency Response Team, de operationele dienst van het CCB) een platform voor incidentenrapportagedat ook voor NIS2 zal worden gebruikt.
In tegenstelling tot Nederland streeft België ernaar de deadline van 17 oktober te halen.
Denemarken
In februari van dit jaar kondigde de overheid aan dat de Deense implementatie van de NIS- en CER-richtlijn zal worden uitgesteld tot het einde van dit jaar of het begin van het nieuwe jaar. De regering merkte echter op dat het uitstel zou kunnen betekenen dat bedrijven te maken krijgen met een kortere periode van implementatie van de nationale regels - bedrijven moeten dus zo snel mogelijk de basis leggen voor NIS2.
Volgens onderzoek uitgevoerd uitgevoerd door de IRIS Group voor Industriens Fond onder Deense organisaties die te maken hebben met de NIS2-richtlijn, twijfelt een op de vijf bedrijven nog steeds of ze onder het toepassingsgebied vallen. Een op de vier bedrijven heeft een plan om te voldoen aan de NIS2-richtlijn, maar slechts 29,2 procent van de bedrijven zegt dat hun maatregelen voor risicobeheer op het gebied van cyberbeveiliging op dit moment voldoen aan de eisen van artikel 21, lid 2, van de richtlijn. De vereisten waar bedrijven het meest mee worstelen zijn de beveiliging van de toeleveringsketen en beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen.
Totdat de nationale wetgeving is voltooid, is het nog onduidelijk welke Deense bedrijven en overheidsinstanties onder de NIS2 zullen vallen, aangezien de definitie van het soort instanties in de specifieke sectoren op verschillende manieren kan worden geïnterpreteerd en de lidstaten de vrijheid hebben om te beslissen of ze bepaalde overheidsinstanties al dan niet opnemen.
Het Deense centrum voor cyberveiligheid (CFCS) heeft computerincidentbestrijdingsteams (CSIRT) opgezet met als doel het melden van significante incidenten onder NIS1. In de toekomst moeten entiteiten die onder NIS2 vallen de bevoegde autoriteit of het CSIRT ook zo snel mogelijk, en binnen 24 uur, op de hoogte stellen van significante incidenten en cyberdreigingen.
Duitsland
In Duitsland wordt NIS2 omgezet in nationale wetgeving door de NIS2UmsuCG, de NIS2-implementatiewet. Dit is een amendement dat de bestaande Duitse CIP-wetten (bescherming van kritieke infrastructuur) wijzigt. Het wetsontwerp is in mei door de raadpleging gekomen en wacht nu op het federale wetgevingsproces, dat naar verwachting in oktober zal plaatsvinden.
Naast NIS2 komt er nog een wet, KRITIS-DachG, voor de identificatie van kritieke infrastructuren. Deze wet dient ter implementatie van de CER-richtlijn, die tot doel heeft de fysieke veiligheid van kritieke entiteiten te versterken.
Er zijn een paar nationale verschillen in Duitsland. Bedrijven die in Duitsland onder NIS2 vallen, zijn opgesplitst in drie groepen: exploitanten van kritieke infrastructuur (KRITIS-exploitanten), essentiële entiteiten en belangrijke entiteiten. De bestaande Duitse methode voor het identificeren van kritieke infrastructuur, KRITIS, blijft in NIS2 en de bestaande KRITIS-sectoren blijven bestaan als een aparte set voor kritieke exploitanten. Bestaande Duitse KRITIS-operatoren met kritieke faciliteiten en drempels zullen worden overgenomen in NIS2 als operatoren van kritieke faciliteiten van het derde entiteittype. Daarnaast zullen de essentiële en belangrijke entiteiten van NIS2 speciaal belangrijke en belangrijke entiteiten worden genoemd.
Nu actie ondernemen
Terwijl Duitsland en België ernaar streven de deadline van oktober te halen, lopen Nederland en Denemarken achter. Alle landen hebben echter duidelijk gemaakt dat het belangrijk is om de eerste maatregelen te nemen in plaats van te wachten tot de nationale wetgeving is afgerond. De NIS2-richtlijn zal gevolgen hebben voor veel nieuwe organisaties en ze zullen allemaal maar weinig tijd hebben om een lange lijst met nieuwe vereisten door te nemen.
Hoe de DataDiode kan helpen
Het NIS2-raamwerk richt zich op beveiligingsmaatregelen op hoog niveau en benadrukt het verdelen van netwerken in segmenten als een belangrijke methode om veiligheidsdoelen te bereiken. Het verdelen van een netwerk door een DataDiode toe te voegen om een eenrichtingsgegevensstroom te garanderen, is een slimme zet om de cyberbeveiliging op essentiële gebieden te verbeteren. In scenario's waar IT- en OT-omgevingen gescheiden moeten blijven om de integriteit en veiligheid van operationele systemen te garanderen, is de DataDiode bijvoorbeeld een effectieve oplossing. Op deze manier kunnen kritieke operationele gegevens veilig naar IT-systemen worden verplaatst, zonder het risico dat malware of aanvallen terug het OT-systeem binnendringen.
Voor systemen die om veiligheidsredenen in de lucht moeten blijven, zoals systemen die worden gebruikt in kritieke infrastructuur of beveiligde overheidsnetwerken, kunnen DataDiodes de veilige update van software of databases mogelijk maken. Door gegevens de beveiligde omgeving binnen te laten zonder de mogelijkheid van data-exfiltratie, kunnen systemen up-to-date worden gehouden en beveiligd worden tegen kwetsbaarheden.
Meer weten over NIS2 en de gevolgen voor gesegmenteerde netwerken? Kom dan op 7 november naar een verhelderende sessie met Bart Groothuis over de nieuwe NIS2-richtlijn en de cruciale rol van segmentatie. Registreer hier.