Op 17 oktober 2024 treedt de nieuwe Europese netwerk- en informatiebeveiligingsrichtlijn (NIS2-richtlijn) in werking, gericht op het versterken van de digitale weerbaarheid van Europese lidstaten. Deze richtlijn wordt geïmplementeerd in nationale wetgeving, de Cyberbeveiligingswet (Cbw), die naar verwachting in het derde kwartaal van 2025 van kracht wordt. De overgangsperiode tussen de inwerkingtreding van de NIS2-richtlijn en de implementatie van de Cbw brengt belangrijke implicaties met zich mee voor organisaties en toezichthouders.
TL;DR
- NIS2-richtlijn: Treedt in werking op 17 oktober 2024, gericht op het versterken van cybersecurity in de EU.
- Cyberbeveiligingswet (Cbw): Verwacht inwerkingtreding in Q3 2025, vervangt de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
- Overgangsperiode: Geen directe verplichtingen voor organisaties, maar wel rechten op bijstand van CSIRT.
- Voorbereiding: Organisaties worden aangemoedigd om zich nu al voor te bereiden op de nieuwe wetgeving.
Wat houdt de NIS2-richtlijn in?
De NIS2-richtlijn is een update van de oorspronkelijke NIS-richtlijn uit 2016 en heeft als doel de digitale en economische weerbaarheid van Europese lidstaten te verbeteren. De richtlijn is van toepassing op essentiële en belangrijke entiteiten in sectoren zoals energie, vervoer, bankwezen, gezondheidszorg en digitale infrastructuur[1]. De nieuwe richtlijn stelt strengere eisen aan cybersecuritymaatregelen, waaronder zorgplicht, meldplicht en registratieplicht.
Overgangsperiode: Wat betekent dit voor organisaties?
Tussen 17 oktober 2024 en de inwerkingtreding van de Cbw gelden er voor organisaties geen directe verplichtingen vanuit de NIS2-richtlijn. Echter, organisaties die van rechtswege onder de richtlijn vallen, hebben wel rechten op bijstand van een Computer Security Incident Response Team (CSIRT) bij cyberincidenten[2]. Het Nationaal Cyber Security Centrum (NCSC) zal deze taken uitvoeren tijdens de overgangsperiode.
Belangrijke punten tijdens de overgangsperiode:
- Geen verplichtingen: Organisaties hoeven nog niet te voldoen aan de zorgplicht, meldplicht of registratieplicht.
- Rechten op bijstand: Organisaties kunnen een beroep doen op bijstand van het NCSC bij cyberincidenten.
- Vrijwillige registratie: Organisaties kunnen zich vrijwillig registreren bij het NCSC, wat pas verplicht wordt na inwerkingtreding van de Cbw[3].
Voorbereiding op de Cyberbeveiligingswet
Hoewel de Cbw pas in 2025 in werking treedt, wordt organisaties aangeraden om zich nu al voor te bereiden. Dit omvat het implementeren van de nodige beveiligingsmaatregelen en het opzetten van interne processen om te voldoen aan de toekomstige verplichtingen. Het NCSC biedt diverse kennisproducten en adviezen om organisaties hierbij te ondersteunen[4].
Stappen voor NIS2-compliance:
- Risico-inventarisatie en -Evaluatie (RI&E): Identificeer potentiële cyberrisico’s en bepaal welke maatregelen prioriteit moeten krijgen.
- Effectief Risicomanagement: Ontwikkel een systematische aanpak om risico’s te identificeren, evalueren en beheersen.
- Incident Response Plan: Zorg voor een goed doordacht plan om snel en adequaat te handelen bij cyberincidenten.
- Cyber Resilience: Investeer in robuuste beveiligingssystemen en regelmatige updates van software.
- Continu Monitoring en Audits: Evalueer regelmatig de effectiviteit van de genomen maatregelen[5].
Relevantie voor de doelgroep
Voor Red Teamers, Blue Teamers, SOC Analysts, Threat Intel Researchers en System Administrators is het van cruciaal belang om op de hoogte te zijn van de nieuwe wetgeving en de implicaties daarvan. De NIS2-richtlijn en de Cbw bieden een kader voor het versterken van cybersecuritymaatregelen, wat direct van invloed is op hun dagelijkse werkzaamheden. Het is essentieel om nu al te beginnen met het implementeren van de vereiste maatregelen om ervoor te zorgen dat de organisatie compliant is wanneer de wetgeving van kracht wordt.
Conclusie
De overgangsperiode tussen de inwerkingtreding van de NIS2-richtlijn en de implementatie van de Cyberbeveiligingswet biedt organisaties de kans om zich voor te bereiden op de nieuwe wetgeving. Hoewel er nog geen directe verplichtingen zijn, is het raadzaam om nu al stappen te ondernemen om de digitale weerbaarheid te versterken. Het NCSC speelt een cruciale rol in het ondersteunen van organisaties tijdens deze overgangsperiode.
References
- NCSC. (2024). “Cyberbeveiligingswet (NIS2-richtlijn)”
- The Trusted Third Party. (2024). “Voorbereiding op de NIS2-richtlijn voor organisaties”
- Officiële Bekendmakingen. (2024). “Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie”
- Constant IT. (2024). “De overgang van de NIS2-richtlijn naar de Cyberbeveiligingswet: wat betekent dit?”
- Computable.nl. (2024). “Nederland mist NIS2-deadline – wat nu?”
