Dutch Cloud Community
Zoeken
Sluit dit zoekvak.
Join the Community
Verslag informatiesessie NIS2 9 mei

Verslag informatiesessie NIS2 9 mei

NIS2 (Network & Information Security Directive 2) is de opvolger van de NIS1, in Nederland ook wel bekend als de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen). Op 9 mei heeft het juridisch team van Dutch Cloud Community een online bijeenkomst gewijd aan tekst en uitleg over wat je allemaal mag en moet onder de nieuwe regels.

NIS2

NIS2 is een update van NIS1, die nodig is vanwege de constatering was dat de lidstaten los van elkaar niet in staat waren om een constant hoog niveau van veiligheid te bewerkstelligen. Daarnaast zien we allemaal dat security cruciaal is in een wereld die in een rap tempo digitaliseert. 

NIS2 is in november 22 vastgesteld door de Europese Raad en op 27 december gepubliceerd. In de zomer 2023 -zo is nu de planning- start een internetconsultatie periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in het wetsvoorstel.

Als Dutch Cloud Community zullen wij ook input leveren tijdens de consultatieronde en we willen graag dat onze leden meedenken. Als jij deel wilt uitmaken van de klankbordgroep, meld het dan even bij ons door een mail aan Simon (simon@dutchcloudcommunity.nl). Dan zorgen wij ervoor dat jij ook mee kunt denken.

Zorgplicht, meldplicht en toezicht

Ten eerste groeit het aantal sectoren dat onder de wetgeving valt sterk: ‘essentiële entiteiten’ is uitgebreid met een aantal nieuwe sectoren, zoals DSP’s. Daarnaast is de categorie ‘belangrijkste entiteiten’ toegevoegd. Afhankelijk van in welke categorie je valt, zullen de verplichtingen zwaarder gaan doorwerken. Er is ook geen onduidelijkheid meer of je er nu onder valt of niet, je kunt het makkelijk nagaan. In principe zijn kleinere bedrijven vrijgesteld, maar als een klein bedrijf iets essentieels doet, kan de overheid daar alsnog een uitzondering voor maken. 

De verplichtingen vallen, grosso modo, onder: zorgplicht, meldplicht en toezicht.

Er zijn lijsten met het soort maatregelen die je geacht wordt te implementeren, bijvoorbeeld: technische en organisatorische maatregelen nemen om je netwerk en informatiesystemen te beveiligen en incidenten met aanzienlijke gevolgen voor de dienstverlening te melden (vergelijkbaar met de AVG). De bedoeling is dat er een soort netwerk ontstaat van partijen die snel kunnen handelen bij incidenten.

Een andere belangrijke maatregel is de beveiliging van de toeleveringsketen en afhandeling van incidenten. Ook iets om rekening mee te houden: het bestuur van een organisatie kan (persoonlijk) aansprakelijk worden gesteld voor bijvoorbeeld het niet-naleven van de zorgplicht. De wetgever wil het signaal afgeven dat cybersecurity besproken wordt en daar horen sancties bij; als de bestuurder z’n werk niet goed heeft gedaan, kan deze aangesproken worden.

Onder de meldplicht valt nadere omschrijving van incidenten die gemeld moeten worden, een verbreding van meldplicht (zoals de verplichting om afnemers van hun dienstverlening te informeren), en een nadere invulling van de meldprocedure.

Welke maatregelen te nemen?

Wat van je verwacht zal worden is dat je een Security Programma opstelt: Een duidelijk programma dat risico’s en incidenten kan beheren, voorkomen, of de gevolgen beperkt.

De eerste stap hiervoor is het maken van een risk assessment. Dit geldt ook voor jouw klanten! Hou er rekening mee dat bepaalde verplichten worden doorgezet naar cloud-dienstverleners. Maak eerst een inventarisatie, beter om iets op papier te hebben dan helemaal niets. Het is uiteindelijk een doorlopend proces, je kan het assessment tussentijds aanpassen.

De thema’s waar je op in kunt zoomen staan in artikel 20 NIS2. Bekijk ook zeker even artikel 21 & 23.

Een plan zou de volgende elementen kunnen bevatten:

Compliance action plan NIS2

Governance

Incident detection and response

Securing and testing parameters and assets

Belangrijk is het om te testen, testen, en nog eens te testen! Je moet dit kunnen laten zien aan de toezichthouder maar ook aan klanten.

Actie plan voor NIS2 compliance

  1. Vaststellen of je onder NIS2 zult vallen
  2. Maak het topmanagement bewust van NIS2 (aansprakelijkheid, sancties en boetes) 
  3. Opleiden en trainen van topmanagers over cybersecurity risk management
  4. Plan en bereken de verhoging van de begroting
  5. Review de 7 cybersecurity risk management maatregelen (artikel 21 NIS2)
  6. Stroomlijn incident reporting
  7. Beoordeel Supply Chain Security
  8. Zorg voor een business continuity & crisis management plan
  9. Implementeer ISMs die rekening houden met NIS2
  10. Bevorder veilige development praktijken
  11. Opzetten van een Vulnerability Disclosure Policy (VPP)
  12. Regelmatige beveiligingstest en audits uitvoeren

Omdat de informatiesessie in dit format duidelijk in een behoefte voorziet en omdat de belangstelling ervoor groot was, hebben we besloten een vervolgsessie in te gaan plannen. Zodra er van overheidswege meer bekend is over de Nederlandse invulling van de NIS2, zullen we deze sessie in een bijgewerkte vorm herhalen. 

Opname van deze informatiesessie, het verslag en de slides zijn beschikbaar voor leden en partners van Dutch Cloud Community.

Delen:

Gerelateerde artikelen:

Meld je nu aan voor onze nieuwsbrief!
[mc4wp_form id="483"]

ISPConnect en DHPA zijn nu Dutch Cloud Community

We zijn sinds januari 2021 gefuseerd tot de Dutch Cloud Community.

De fusie van ISPConnect en DHPA heeft plaatsgevonden om als nieuwe branchevereniging de belangen te behartigen voor de Nederlandse cloud-, hosting- en internetsector.

Al onze informatie vind je vanaf nu op dutchcloudcommunity.nl

Bedankt, ik begrijp het!