Door Nandenie Moenielal, Lead Consultancy & Business Development bij ICT-kennispartner Legian

We zijn weer een aantal stappen verder met betrekking tot NIS2, een belangrijke (nieuwe) Europese richtlijn met een grote impact op het cybersecuritylandschap. Er is inmiddels ook een nieuwe naam voor de wet die in Nederland de WBNI zal vervangen: de Cyberbeveiligingswet (Cbw). Hoewel we niet exact weten wanneer de regelgeving in werking treedt (naar verwachting in het derde kwartaal van 2025), delen we graag wat er al wél bekend is. 

Reikwijdte
Over de scope van de NIS2-richtlijn is al veel geschreven. We wisten al dat deze ruimer is dan die van de NIS (of NIS1). Daarnaast was al bekend dat de richtlijn, naast essentiële entiteiten, ook belangrijke entiteiten toevoegt. Het wetsvoorstel voor de Cyberbeveiligingswet spreekt over middelgrote en grote bedrijven. 

Een registratie-, meld- én zorgplicht en toezicht
Er komen vier categorieën verplichtingen bij kijken, hieronder een korte blik op elke categorie.

Registratieplicht
Elke entiteit die binnen de scope valt van de Cyberbeveiligingswet (Cbw) moet zich registreren bij het NCSC (Nationaal Cyber Security Centrum). Zij werken momenteel aan een online registratiesysteem waar elke NIS2-entiteit zich moet aanmelden. Let op, dit geldt voor elke relevante entiteit en staat los van de labels ‘belangrijk’ en ‘essentieel’. Waarom is er een registratieverplichting? Elke lidstaat moet over een eigen register beschikken. Ook levert dit op Europees niveau een beeld op van het aantal NIS2-entiteiten.

Meldplicht
Het wetsvoorstel stelt dat significante incidenten gemeld moeten worden. Dit zijn incidenten die de dienstverlening van een organisatie aanzienlijk verstoren. Factoren die dit bepalen zijn:

• De omvang van de financiële verliezen voor de betrokkenen.
• Het veroorzaken van schade bij andere organisaties in de keten.

Daarom is het inrichten van Incident Response belangrijk. De incidenten worden gemeld bij het CSIRT (Computer Security Incident Response Team) en bij de toezichthouder. Het CSIRT heeft in dit geval ook de taak om hulp en bijstand te verlenen aan de melder. In tegenstelling tot voorheen heeft een CSIRT dus ook een ondersteunende functie.

Het is nog niet duidelijk wat de drempelwaarden zijn voor een significante melding, maar het NCSC geeft aan dat zij bezig zijn met het bepalen van deze waarden en het inrichten van een centraal meldpunt.

Zorgplicht
Meermaals wordt in het wetsvoorstel aangehaald dat het erg belangrijk is om cybersecurity vanuit ‘risico-denken’ te benaderen. De risico-gebaseerde aanpak is een van de belangrijkste onderdelen binnen deze wet. Dit houdt in dat de risicoanalyse de basis vormt voor de beslissingen in je organisatie.

Met het volgen van een risico-gebaseerde aanpak kom je tot passende en evenredige maatregelen. Door na te denken over de kroonjuwelen van je organisatie en welke dreigingen het meest relevant zijn, valt goed te onderbouwen hoe zwaar een bepaalde maatregel zal zijn. Een passende maatregel is dan ook een regel die evenredig is aan hetgeen wat je wilt beschermen. Zo stop je je belangrijke juwelen thuis in een kluis met een unieke code, terwijl je dat niet met al je andere waardevolle bezittingen doet.

Ook is het belangrijk om een ‘plan-do-check-act’-methodiek te hanteren, waardoor je continu blijft monitoren en bijsturen. Hiermee zorg je ervoor dat je niet ad hoc, maar voor de lange termijn in control bent. Het resultaat is continue verbetering in het securitydomein van je organisatie.

Toezicht
De entiteit is eindverantwoordelijk voor het naleven van de zorgplicht. Daarom noemen we ‘toezicht houden’ een vierde verplichting die wordt opgelegd.

Opleidingsplicht
Naast de grotere betrokkenheid van het management en de toegenomen aandacht voor aansprakelijkheid, krijgen bestuurders ook een opleidingsplicht. Dit lijkt ons een belangrijk en interessant onderdeel van de Cyberbeveiligingswet. Dit stelt namelijk bestuurders in staat om vele malen beter beslagen ten ijs beslissingen te nemen op het gebied van informatiebeveiliging.

Hulpmiddelen
Om je op weg te helpen, is hier een overzicht van enkele hulpmiddelen:

• Legian NIS2-check
• NCSC Herstel van een cyberincident
• DTC incident response plan..

Conclusie
Het advies van de Rijksoverheid is om niet af te wachten tot de wet daadwerkelijk van kracht wordt, maar om op tijd voorbereid te zijn. Daar sluiten wij ons bij aan: ga vandaag al aan de slag!

Maar hoe begin je dan?
Onze aanpak is om informatiebeveiliging te borgen binnen de organisatie vanuit de norm ISO 27001. Al is een ISO-certificering geen doel voor een organisatie of een verplichting vanuit de NIS2, dan nog bevat deze aanpak een aantal belangrijke onderdelen die enorm helpen en aansluiten op de vereisten. Dit is nuttig voor alle organisaties, van klein tot groot.

Start met een risicoanalyse
Een risicoanalyse of risk assessment is een vast onderdeel van een ISO-aanpak. Hierin worden de beveiligingsrisico’s gedefinieerd. Daarna worden de risico’s gewaardeerd op kans (wat is de kans dat dit voorvalt?) en gevolgschade. Er ontstaat inzicht in de top 10 risico’s op het gebied van security. Je voldoet hiermee dus aantoonbaar aan een risicogebaseerde aanpak.

Richt een ISMS in
De ISO-aanpak spreekt van het borgen van informatiebeveiliging middels een managementsysteem. Dit heet het Information Security Management System (ISMS). Eerder sprak ik al over een plan-do-check-act-cyclus, waardoor er continue verbetering optreedt. Risico’s en maatregelen worden geëvalueerd en bijgestuurd op periodieke basis. Ook heeft het management een belangrijke taak binnen het managementsysteem, en bovendien is het essentieel dat het management betrokken is.

Implementeer effectieve (basis)maatregelen
De ISO 27001-standaard kent een bijlage, namelijk ISO 27001: Annex A (ISO 27002). In deze bijlage staan de maatregelen die horen bij dit normenkader. De laatste versie (2022) omvat overigens een aantal aanpassingen ten opzichte van de vorige versie. Basismaatregelen, zoals die in artikel 21 van NIS2 worden beschreven, en waarnaar verwezen wordt, kunnen gemapt worden met de deze set van IS027001 maatregelen. Op basis hiervan kun je dus stellen dat door het implementeren van ISO27001 en ISO27002, je al enorm veel stappen zet richting naleving van de NIS2. Zo ben je goed voorbereid op de Cyberbeveiligingswet!