NIS2, de richtlijn
vanuit Europese wetgeving
NIS2 is een richtlijn die zorgt voor een veilige en zorgvuldige omgang met data. Het is een werkwijze om de veiligheid van softwaregebruik te waarborgen.
Geïntroduceerd in het derde kwartaal van 2024, met verwachte nalevingscontrole eind 2025, is het cruciaal bij het ontwikkelen van software in specifieke sectoren en gevallen.
De totstandkoming van Nis2
In 2016 werd de eerste versie van de NIS-richtlijn ingevoerd, genaamd NIS1. Deze richtlijn had als doel om de digitale veiligheid in Europa te verbeteren. Maar omdat de digitale wereld snel verandert en de cyberdreigingen steeds groter worden, bleek NIS1 niet meer voldoende. Daarom is er nu een aangescherpte versie: NIS2.
NIS staat voor Network and Information Security, oftewel netwerk- en informatiebeveiliging. De NIS2-regels zijn bedoeld om organisaties beter te beschermen tegen digitale risico’s. Ze leggen onder andere de nadruk op:
- Het goed beveiligen van gegevens;
- Het uitvoeren van risicoanalyses om kwetsbaarheden op tijd te ontdekken;
- De plicht om ernstige beveiligingsincidenten te melden;
- Het controleren van software van samenwerkingspartners om veilige verbindingen te garanderen.
NIS2 is dus een strengere en uitgebreidere opvolger van NIS1, die beter past bij de digitale risico’s van vandaag.
Hoe zit dat in de praktijk?
Bij de implementatie van NIS2-richtlijnen helpen we klanten met een concrete en praktische aanpak. Zo zorgen we er bijvoorbeeld voor dat gevoelige gegevens standaard versleuteld worden, dat toegang tot systemen strikt geregeld is via rollen en twee-factor-authenticatie, en dat incidenten snel worden gedetecteerd en gemeld dankzij slimme koppelingen met monitoringtools. We voeren risicoanalyses uit, testen actief op kwetsbaarheden, en documenteren alles duidelijk zodat aan de verplichtingen wordt voldaan.
Voor wie is de NIS2 het meest relevant?
De Europese NIS2-richtlijn is bedoeld om de digitale weerbaarheid van vitale en belangrijke sectoren te vergroten. Organisaties die actief zijn in sectoren zoals energie, transport, digitale infrastructuur, zorg en overheidsdiensten krijgen direct te maken met NIS2-verplichtingen zoals risicobeheer, incidentmeldingen en strengere toezichtmaatregelen.
Maar ook organisaties buiten deze sectoren kunnen indirect geraakt worden via de ketenregeling. Deze regeling houdt in dat bedrijven die toeleverancier zijn van NIS2-plichtige organisaties, zelf ook aan strengere eisen moeten voldoen. Denk hierbij aan het leveren van software, hosting, beveiligingsoplossingen of andere digitale diensten.
Wij kunnen hiermee dus ook te maken krijgen als onze klanten onder NIS2 vallen. Wij moeten dan als schakel in hun keten kunnen aantonen dat wij op een veilige en betrouwbare manier werken. Omdat wij al enige tijd ISO27001 gecertificeerd zijn, kunnen wij te allen tijde aan de eventuele ketenregeling gerelateerde verzoeken voldoen.