Inhoudsopgave

• Inleiding

• Van NIS naar NIS2 – waarom een update?

• Wie valt er onder NIS2?

• Belangrijke vereisten in NIS2

• Hoe zullen Zweedse bedrijven en organisaties worden beïnvloed?

• Kansen met NIS2

• Uitdagingen op de weg

• Wat moeten bedrijven nu doen?

• Aanbevolen cursussen bij AVC

• Conclusie

Inleiding

Digitalisering blijft doordringen in alle gebieden van de samenleving. Bedrijfsmodellen, kritieke maatschappelijke functies en het dagelijks leven van burgers zijn steeds meer gebaseerd op digitale infrastructuur. Deze ontwikkeling gaat echter gepaard met een sterke toename van de kwetsbaarheid voor cyberaanvallen, datalekken en andere IT-gerelateerde incidenten. Om de digitale veerkracht van haar lidstaten te versterken, heeft de EU een nieuw kader geïntroduceerd: de NIS2-richtlijn

Sinds 17 oktober 2024, maakt NIS2 deel uit van de Zweedse wetgeving, waarbij belangrijke nieuwe vereisten voor bedrijven en publieke organisaties worden geïntroduceerd. Hier beschrijven we wat de richtlijn inhoudt, waarom het belangrijk is, en hoe je je in de praktijk kunt voorbereiden.

Van NIS naar NIS2 – waarom een update?

De eerste NIS-richtlijn (2016) was het eerste gemeenschappelijke kader van de EU voor cybersecurity. Het doel was om te waarborgen dat exploitanten van essentiële diensten en aanbieders van digitale diensten een basisniveau van beveiliging hadden en dat ernstige incidenten werden gemeld.

Ondanks dit is het aantal cyberdreigingen de afgelopen jaren dramatisch toegenomen: ransomware-aanvallen, door staten gesponsorde cyberoorlog, aanvallen op de toeleveringsketen en sabotage tegen kritieke infrastructuur. NIS1 werd niet langer voldoende geacht.

NIS2 heeft daarom als doel om:

• Dek meer sectoren en bedrijven af – niet alleen de meest cruciale maatschappelijke functies.
• Verhoog de eisen voor risicobeheer, beveiligingsmaatregelen en incidentmelding.
• Create a more uniform application throughout the EU, so that the level of security does not vary between member states.
• Geef autoriteiten meer bevoegdheden om toezicht te houden en in te grijpen bij gevallen van niet-naleving.

Wie valt er onder NIS2?

Een van de meest ingrijpende veranderingen is dat de richtlijn de reikwijdte van degenen die gedekt zijn verbreedt. NIS1 was voornamelijk van toepassing op energie, vervoer, financiën, gezondheidszorg en digitale infrastructuur.

NIS2 voegt meer sectoren toe, waaronder:

• Openbaar bestuur
• Afval- en rioolbeheer
• Voedselproductie en -distributie
• Vervaardiging van bepaalde kritieke producten (bijv. medische apparaten, farmaceutica, chemicaliën, elektronica)
• Aanbieders van IT- en cybersecuritydiensten

Een andere belangrijke verschil is dat de richtlijn van toepassing is op alle middelgrote en grote ondernemingen in de aangewezen sectoren. Kleine bedrijven (minder dan 50 werknemers en een omzet van minder dan €10 miljoen) zijn over het algemeen vrijgesteld, maar kunnen toch onder de richtlijn vallen als ze als bijzonder kritisch worden beschouwd.

Dit betekent voor Zweden dat aanzienlijk meer organisaties dan voorheen aan de vereisten moeten voldoen – zowel publieke als private.

Belangrijke vereisten in NIS2

NIS2 legt een aantal specifieke verplichtingen op aan de betrokken partijen. De belangrijkste hiervan staan hieronder vermeld:

1. Veiligheidsmaatregelen

Organisaties moeten zowel technische als organisatorische maatregelen implementeren om risico's te beheren. Deze kunnen onder meer omvatten:

• Cybersecurity governance en risicobeheer op managementniveau.
• Maatregelen om incidenten te voorkomen, op te sporen en te beheren.
• Veiligheid in toeleveringsketens.
• Beveiliging in netwerken en systemen, inclusief versleuteling en multifactorauthenticatie.
• Continuïteits- en herstelplannen in geval van verstoringen.

2. Incidentrapportage

NIS2 verscherpt rapportageverplichtingen:

• Vroegtijdige waarschuwingsmelding binnen 24 uur na het detecteren van een incident.
• Gedetailleerd verslag binnen 72 uur.
• Binnen een maand na het incident moet een definitief rapport worden ingediend.

Dit betekent dat organisaties procedures moeten vaststellen voor snelle interne rapportage, analyse en communicatie met autoriteiten.

3. Verantwoordelijkheid van het management

Een belangrijke verandering is dat het management en de raden van bestuur van bedrijven expliciet verantwoordelijk worden gesteld voor het naleven van de vereisten. Zij moeten:

• Keur beveiligingsmaatregelen goed.
• Neem deel aan cybersecuritytraining.
• Persoonlijk verantwoordelijk gehouden worden voor ernstige tekortkomingen.

4. Toezicht door regelgevende instanties en sancties

Elke lidstaat wijst toezichthoudende autoriteiten aan met de bevoegdheid om:

• Voer audits en inspecties uit.
• Vraag informatie en bewijs van naleving op.
• Geef bindende instructies.
• Leg boetes op voor niet-naleving.

Het niveau van de sancties is hoog – tot €10 miljoen of 2% van de wereldwijde jaaromzet voor de meest ernstige overtredingen.

Hoe zullen Zweedse bedrijven en organisaties worden beïnvloed?

In Zweden is men momenteel bezig met het ontwikkelen van een nieuwe cybersecuritywet om de vorige NIS-wet te vervangen. Men verwacht dat deze uiterlijk in de herfst van 2024 in werking zal treden.

Voor Zweedse acteurs betekent dit dat ze moeten:

• Bepaal of ze gedekt zijn
  • Organisaties moeten bepalen of ze tot de sectoren en grootteklassen behoren die onder NIS2 vallen.

• Versterk bestuur en management
  • Het management moet worden opgeleid in cybersecurity en het vraagstuk integreren in het algehele risicobeheer van de organisatie.
• Voer gapanalyses uit
  • Hoe goed voldoen de huidige beveiligingsmaatregelen aan de vereisten van NIS2? Waar zitten de lacunes?
• Ontwikkel robuuste procedures voor incidentrapportage
  • Processen zijn nodig om incidenten tijdig te detecteren, analyseren en te rapporteren.
• Beveilig de toeleveringsketen
  • Aangezien veel cyberdreigingen zich verspreiden via onderaannemers, moeten organisaties ook eisen stellen aan hun partners.

Kansen met NIS2

Het is makkelijk om NIS2 enkel te zien als een last met verhoogde kosten en meer administratief werk. Maar de richtlijn kan ook gezien worden als een kans:

• Toegenomen concurrentievermogen: Bedrijven die hoge cybersecurity kunnen aantonen, worden aantrekkelijker voor klanten en partners.
• Versterkt vertrouwen: Het kunnen garanderen van veilige omgang met data en systemen bouwt vertrouwen op.
• Verbeterde veerkracht: Investeringen in beveiliging verminderen het risico op kostbare onderbrekingen, datalekken en schade aan het merk.
• Standaardisatie: Door het harmoniseren van de regels biedt de EU bedrijven die in meerdere landen actief zijn een duidelijker en uniformer speelveld.

Uitdagingen op de weg

Er zijn echter echte uitdagingen:

• Complexiteit: Veel organisaties hebben tegenwoordig geen duidelijk beeld van hun digitale bezittingen en risico's.
• Tekort aan vaardigheden: Er is een tekort aan cybersecurity-experts, zowel in de private als de publieke sector.
• Kosten: Investeringen in systemen, processen en training kunnen aanzienlijk zijn, vooral voor middelgrote bedrijven.
• Culturele verandering: Cybersecurity moet een natuurlijk onderdeel worden van de gehele organisatie - niet alleen de verantwoordelijkheid van de IT-afdeling.

Wat moeten bedrijven nu doen?

Om goed voorbereid te zijn op NIS2, moeten Zweedse bedrijven en organisaties nu al het volgende doen:

• Wijs een projectgroep aan die verantwoordelijk is voor NIS2-naleving.
• Train het bestuur en management in de nieuwe vereisten en risico's.
• Voer een statusanalyse uit van informatiebeveiliging en risicobeheer.
• Voer procedures voor incidentbeheer in en oefen scenario's.
• Betrek leveranciers en zorg ervoor dat ze aan redelijke beveiligingseisen voldoen.

Aanbevolen cursussen bij AVC

Om uw organisatie te helpen voldoen aan de nieuwe NIS2-vereisten, raden we twee op maat gemaakte e-learningprogramma's aan:

• SecurityLearn® NIS2 Essentials – Een e-Learning cursus die een fundamenteel begrip biedt van cybersecurityrisico's en de nalevingsverplichtingen zoals uiteengezet in Artikel 20 van de NIS2-richtlijn. Ontworpen voor niet-technisch personeel, het verhoogt het bewustzijn en bevordert een cultuur van veiligheid binnen de organisatie.
• Gecertificeerde NIS2 (CNIS2) – Een e-Learning cursus voor managers, specialisten en professionals die verantwoordelijk zijn voor het implementeren en onderhouden van NIS2-conformiteit. Deze geavanceerde training overbrugt de kloof tussen cybersecurity beste praktijken en organisatorisch bestuur, en geeft deelnemers de vaardigheden om risico's te beheren, incidenten aan te pakken en naleving te verzekeren.

Beide cursussen worden online gegeven, in het Engels, en omvatten een certificering. Ze bieden de kennis en hulpmiddelen die je nodig hebt om aan de eisen van de nieuwe richtlijn te voldoen.

Conclusie

NIS2 markeert een nieuw tijdperk voor cybersecurity in Europa. Waar GDPR zich richtte op gegevensbescherming en individuele privacy, focust NIS2 op robuustheid en veerkracht over de gehele digitale infrastructuur.

Voor Zweedse bedrijven en organisaties is de boodschap duidelijk: cybersecurity is niet langer een zaak voor specialisten op de IT-afdeling - het is een strategisch managementprobleem met juridische, financiële en vertrouwensimplicaties.

Het wachten op de inwerkingtreding van de nieuwe wet kan kostbaar zijn. Maar tijdig handelen kan het verschil maken tussen NIS2 zien als een zware regelgevende last – of als een kans om uw bedrijf voor de toekomst te versterken.

Bronnen

• Regering. Nieuwe regels voor cyberveiligheid SOU 2024:18 - Tussentijds rapport van de Onderzoekscommissie voor de implementatie van de NIS2- en CER-richtlijnen. Stockholm: Overheidspublicaties van de staat, 05 maart 2024. regeringen.se
• Europese Commissie. Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn). Publicatieblad van de Europese Unie, 27 december 2022. eur-lex.europa.eu
• ENISA – Het Europees Agentschap voor cyberbeveiliging. NIS2-richtlijn: Overzicht en Belangrijke Bronnen. enisa.europa.eu