NIS2 komt eraan. uuh, wat is dat?

Het doel van de NIS richtlijnen is om eenheid aan te brengen in Europees beleid voor netwerk- en informatiebeveiliging.  Dit om de gevolgen van risico’s van cyberincidenten te verkleinen. Met de eerste NIS richtlijn lag de focus met name op grote bedrijven en instellingen. De NIS2 richtlijnen zijn in de kern onveranderd en bestaat uit 2 hoofdonderdelen: zorgplicht en meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van ‘essentiële diensten’ is er dus (veel) werk aan de winkel.

Het ziet er dus naar uit dat organisaties in tal van sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit is gelijk te trekken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.