De laatste tijd is er veel berichtgeving over de NIS2 en wat dit mogelijk gaat betekenen voor zorgorganisaties. Naar verwachting moet je als (zorg)organisatie eind 2024 voldoen aan de wetgeving die rondom NIS2 wordt gemaakt. Wat is NIS2, wat kun je nu al doen en waar moet je op letten? We zetten een aantal punten voor je op een rijtje.
Wat is de NIS2?
De NIS2 is een Europese richtlijn onder nummer 2022/2555 en heeft als titel ‘richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie’. De eerdere versie van de NIS2 stond bekend als NIS of NIB richtlijn, Netwerk en Informatie Systemen. Vandaar dat er nu in Europees verband gesproken wordt over de NIS2, maar feitelijk is de titel dus veranderd. In Nederland is de eerdere versie geïmplementeerd in de Wbni, Wet beveiliging netwerk- en informatiesystemen.
De NIS2 bestaat uit 46 artikelen en 3 bijlagen en is zoals gezegd een Europese richtlijn. Dit betekent dat Nederland wetgeving moet maken die de NIS2 implementeert, de verwachting is dat deze eind 2024 van kracht zal zijn.
Toepassingsgebied van de NIS2
De meest gehoorde opmerking over de NIS2 is dat deze voor meer organisaties gaat gelden. In artikel 2 van de richtlijn, het Toepassingsgebied, staan de punten waarop je kunt baseren of jouw organisatie aan de NIS2 moet gaan voldoen. De rijksoverheid heeft in voorbereiding hierop een handige tool gemaakt waarmee je kunt controleren of de richtlijn voor jouw organisatie van toepassing is. Je vind deze tool hier.
Governance: hoe regel je dat zelf én regionaal?
Net zoals bij de AVG-wetgeving draagt het bestuursorgaan bij de NIS2 verantwoordelijkheid op het gebied van cyberbeveiliging. Deze verantwoording wordt zelfs vertaald naar aansprakelijkheid van het bestuursorgaan. Wat dit nu precies betekent, is nog niet helemaal duidelijk. Geldt dit dan voor de bestuurder, raad van bestuur of het gehele management? Daarnaast is binnen de NIS2 sprake van ketenverantwoordelijkheid en moet je governance dus breder zien dan alleen binnen je eigen organisatie.
Maatregelen
De richtlijn beschrijft een minimaal aantal maatregelen op het gebied van cyberbeveiliging waaraan je als organisatie moet voldoen. Deze maatregelen lijken overéén te komen met reeds bestaande maatregelen uit bijvoorbeeld de normen NEN 7510 en ISO 27001/27002, het gaat dan onder andere om de volgende maatregelen:
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- Incidentenafhandeling;
- Bedrijfscontinuïteit van de gehele keten;
- Basispraktijk op het gebeid van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- Beleid en procedures inzake het gebruik van cryptografie en mogelijk encryptie;
- Toegangsbeheer;
- Beheer van activa;
- Wanneer gepast, het gebruik van Multifactor authenticatie.
(dit is slechts een opsomming van maatregelen zoals deze in de NIS2 staan en geeft nog niet een compleet overzicht).
Meldplicht
Naast de vooral preventieve en detectieve maatregelen beschrijft de NIS2 ook wat de plichten zijn bij een mogelijke inbreuk door cybercriminaliteit. Organisatie hebben dan een meldplicht bij de voor de organisatie van toepassing zijnde CSIRT of CERT zoals voor de zorg Z-CERT. Deze meldplicht kun je vergelijken met de meldplicht van Datalekken bij de Autoriteit Persoonsgegevens.
Sanctie
De richtlijn heeft ook artikelen over mogelijke sancties wanneer organisaties niet voldoen aan de eisen vanuit de NIS2. Het gaat hier dan bijvoorbeeld om sancties zoals audits door controlerende instanties. Sancties kunnen uiteindelijk wel een boete tot gevolg hebben, ook hier is een vergelijking met de AVG mogelijk, aangezien ook hier een boete opgelegd kan worden van maximaal 10 miljoen euro of 2% van de jaaromzet.
Voorbereiden
Om eind 2024 niet verrast te worden door de Nederlandse wetgeving is het verstandig om nu al te beginnen met het voorbereiden op de NIS2. Uitgangspunt hierbij is bepalen of de NIS2 van toepassing is voor de organisatie. Je kunt naast het artikel 2 van de richtlijn hiervoor de tool gebruiken op de website https://regelhulpenvoorbedrijven.nl/NIS-2-NL/.
Vervolgens is het belangrijk om de maatregelen uit te gaan voeren als dit al niet is gedaan, waarbij bestaande normen zoals NEN 7510 kunnen helpen.
Mochten er nog vragen zijn of wil je ondersteuning bij het implementeren van maatregelen neem dan contact op met de Afdeling Privacy & Security van GERRIT, bel of mail de Servicedesk op 085 – 7604076 of servicedesk@wijzijngerrit.nl.