Bekijk:
Thema's
Bank
Beleggen DSI
Bedrijfsvoering
Compliance
Duurzaamheid & ESG
English
Fintech
Governance
IT- en Vaardigheden
NIBE-SVV-nieuws
Pensioen & Leven
Risicomanagement
Schadeverzekeringen
Wft en Wft-PE
Zorg & Inkomen
Bekijk het aanbod

EU scherpt cyberrichtlijn uit 2016 aan

Op Woensdag, 7 December, 2022, 13:11

In 2016 kwam de Europese Unie (EU) met de eerste cyberrichtlijn, de Directive on security of network and information systems (NIS). Nu, 6 jaar later, komt de EU met NIS2. Wat is het doel van NIS2? En hoe verschilt deze van de NIS-richtlijn uit 2016?

De eerste NIS-richtlijn

De eerste NIS-richtlijn was een reactie op de groeiende cyberdreigingen in de Europese Unie. Het doel was om een algemeen niveau van veiligheid te waarborgen voor kritische sectoren en infrastructuur binnen Europa.

  • De NIS-richtlijn moest ten eerste zorgen voor paraatheid van de lidstaten. De lidstaten werden namelijk verplicht om adequaat voorbereid en uitgerust te zijn, door onder andere de oprichting van een nationale NIS-autoriteit.
  • Ten tweede moest de richtlijn zorgen voor samenwerking tussen de lidstaten op het gebied van cyber(veiligheid). De NIS Cooperation Group die toen is opgericht, kreeg als doel om een zo hoog mogelijk gezamenlijk niveau van veiligheid te halen voor netwerken en informatiesystemen binnen de Europese Unie. Hierdoor kunnen informatie en kennis snel en makkelijk onderling worden gedeeld.
  • Ten derde moest de NIS-richtlijn zorgen voor een veilige cybercultuur binnen de vitale sectoren (zowel publiek als privaat) van de Europese economie en samenleving. Het ging met name om sectoren die veel leunen op ICT-systemen. Dat zijn onder andere energie, transport, banken, financiële instellingen, zorg, drinkwaterlevering en digitale infrastructuur.

Revisie van cyberrichtlijn: NIS2

Cyberdreigingen veranderen voortdurend en nemen ook toe. Daardoor werd een revisie van de eerste NIS-richtlijn nodig. De coronapandemie maakte een revisie nog urgenter.

Wat houdt de revisie in?

Eigenlijk is de wetgeving niet zo zeer veranderd, maar vooral uitgebreid. De tweede NIS-richtlijn moet het niveau van cyberweerbaarheid van de verschillende sectoren verhogen. Ook komen er nieuwe sectoren bij op de lijst van vitale sectoren. De lijst is gegroeid van 19 naar 35 sectoren. Voorbeelden van nieuwe sectoren zijn afvalverwerking, chemische productie en agrifood. In heel Europa gaat het om ongeveer 160.000 organisaties extra die moeten voldoen aan de NIS-vereisten. Ook in Nederland zal er dus voor veel bedrijven een extra eisenpakket komen. Dat geldt ook voor kleine mkb’ers in deze essentiële sectoren.

Strengere eisen cybersecurity

Belangrijk is dat de vereisten in NIS2 strenger worden. Organisaties moeten onder andere ten minste het volgende geregeld hebben:

  • implementeren van Multi Factor Authenticatie (MFA);
  • procedures en plannen hebben over business continuity en crisismanagement;
  • beleid hebben op het gebied van de beoordeling van de effectiviteit van cyberveiligheid en risicomanagement; en
  • cryptografie en encryptie gebruiken.

Incidentresponse: rapporteren beveiligingsincidenten

Verder komt er met de NIS2 ook een tweestapsproces voor het rapporteren van beveiligingsincidenten:

  • De eerste stap: een organisatie die te maken krijgt met een incident moet het incident melden binnen 24 uur door middel van een voorlopig rapport.
  • De tweede stap: de organisatie moet een definitief rapport inleveren binnen een maand vanaf de ontdekking van het incident. De verwachting is dat veel organisaties hier moeite mee zullen hebben. Vaak zullen ze namelijk de hulp moeten inroepen van sterk gespecialiseerde ICT-(security)mensen, die erg schaars en kostbaar zijn.

 
Hier ligt een kans voor cyberverzekeraars. Wellicht kan de incidentresponse die op veel cyberverzekeringen zit, met een 24/7-hulplijn, uitkomst bieden. Via de hulplijn kunnen experts worden ingeschakeld voor ICT-forensisch onderzoek en crisismanagement, juridische bijstand en PR.

NIS2 en cyberverzekeraars

Een organisatie die aan de NIS2-richtlijn voldoet, voldoet niet automatisch ook aan de eisen voor een cyberverzekering. De eisen van de meeste cyberverzekeraars gaan inmiddels verder.

Waar kijken cyberverzekeraars naar?

Verzekeraars verwachten van hun verzekerden een goede basishygiëne met betrekking tot cyber: zowel het voorkomen van incidenten als het managen van incidenten. In veel gevallen kan er anders geen verzekering worden afgesloten.

Deze basishygiëne bestaat uit 12 controls, waarvan de NIS2 er al 4 voorschrijft: MFA, business continuity en crisisplannen, beleid op de effectiviteit van cyberbeveiliging en encryptie.
Daarnaast vragen verzekeraars het volgende:

  • E-mailfilteringsoftware: om spam en phishingmails buiten te houden en onveilige websites te blokkeren.
  • Privileged Access Management: voor identificatie van de mensen, processen en technologie die uitgebreide toegang nodig hebben en specificatie van de beleidsregels die daarop van toepassing zijn.
  • Endpoint Detection and Response (EDR): tooling die zich richt op het detecteren en onderzoeken van verdachte activiteiten op de werkplekken.
  • Patch and Vulnerability Management: het corrigeren van problemen in software, inclusief beveiligingslekken en het continue proces van het identificeren, classificeren en prioriteren van kwetsbaarheden om zo inzicht in risico's te krijgen.
  • Cyberveiligheidstrainingen en phishingtests voor werknemers, invoeren van best practices, tools en technieken op onder ander Remote Desktop Protocol (RDP).
  • Het loggen en monitoren van activiteiten op het netwerk, om snel te kunnen handelen in het geval van een cyberincident.
  • Het vervangen of beschermen van zogenoemde ‘end of life’-systemen (systemen waar geen (beveiliging)updates voor worden ontvangen).

Toegevoegde waarde van NIS2 voor de cyberverzekeringsmarkt

De toegevoegde waarde van NIS2 voor de cyberverzekeringsmarkt is wel dat
organisaties door de NIS2-vereisten meer een risk based approach zullen moeten hebben bij cyberrisico’s. Hoe maak je bijvoorbeeld anders een juiste beoordeling van de effectiviteit van cyberveiligheid en risicomanagement? Bij veel organisaties is dat er nog niet. Het cyberrisico moet juist van meerdere kanten bekeken worden. Naast ICT zouden ook de CFO, HR, Juridische Zaken, Sales en Compliance met dit risico bezig moeten zijn, waardoor cyberriskmanagement een breed gedragen verantwoordelijkheid wordt. NIS2 ‘dwingt’ organisaties om cyberrisico’s ook breder te benaderen. Dat kan de deur openen naar een beter gesprek over hoe de restrisico’s te managen, bijvoorbeeld door het sluiten van een cyberverzekering.

Implementatie cyberrichtlijn in Nederland

De NIS2 is een Europese richtlijn en moet nu worden omgezet naar nationale wetgeving. De Nederlandse overheid heeft daarvoor 21 maanden de tijd. Dus vóór maart 2024 moet de Nederlandse wetgeving in werking treden.

Meer informatie over cyberveiligheid en cyberverzekeringen

 
NIBE-SVV heeft diverse opleidingen waarin cyberveiligheid en cyberverzekeringen aan bod komen:

Deel dit artikel
Wellicht ook interessant

Op Donderdag, 8 Augustus, 2024, 15:29

Klaar voor DORA? AFM publiceert checklist voor ondernemingen

Vanaf 17 januari 2025 moeten financiële ondernemingen voldoen aan de Digital Operational Resilience Act (DORA). Deze Europese verordening heeft als doel IT-risico’s beter te beheersen en om weerbaarder te worden tegen cyberdreigingen. De Autoriteit Financiële Markten (AFM) heeft een checklist ontwikkeld die financieel dienstverleners, kapitaalmarktpartijen en beleggingsondernemingen helpt om hun voorbereiding op DORA te evalueren.
Lees verder

Op Donderdag, 6 Juni, 2024, 14:24

AI onder de loep door DNB en AFM

De financiële sector is zich nog niet goed bewust van de effecten van kunstmatige intelligentie (oftewel AI). Hierdoor voelen toezichthouders DNB en de AFM zich genoodzaakt om de impact van AI op de sector onder de loep te nemen. De ontwikkelingen volgen zich namelijk in rap tempo op en nemen naast kansen ook de nodige risico’s met zich mee. In een gezamenlijk onderzoek pleiten de toezichthouders dat er in wet- en regelgeving een goede balans moet zijn tussen innovatie en verantwoord gebruik van AI.
Lees verder

Op Dinsdag, 7 Maart, 2023, 08:42

De 10 grootste risico’s in 2023: cyberrisico’s aan kop

Over het risico op cyberincidenten maken ondernemers zich de meeste zorgen. Het risico op bedrijfsonderbrekingen komt bij hen op de tweede plaats. Deze ranking is afkomstig van de Risk Barometer die Allianz jaarlijks publiceert. In deze Barometer is informatie van ondernemers uit 94 landen verzameld.

Lees verder

Interessante artikelen

Alles wat je altijd al wilde weten over de Wft
De meest gestelde vragen over de Wft, PE en PA én de antwoorden
Wat is SWIFT en hoe werkt het?
Financieel adviseur en financieel planner, wat is het verschil?
Wat kun je worden met een Wft-diploma?
Heb je vragen?
Onze opleidingsadviseurs zijn nu telefonisch bereikbaar. Op werkdagen van 08.30 tot 17.00 uur. WhatsApp van 10.00 tot 16.00 uur.
   035 - 7 506 155
 
   06 - 26 29 66 49
Schrijf je in voor de Nieuwsbreak
Ontvang maandelijks het laatste nieuws uit de financiële sector en van NIBE-SVV in je mailbox.
Ja, ik meld me aan
Incompany mogelijkheden

Wil je met je team, afdeling of organisatie je kennis en vaardigheden vergroten? Volg samen een training uit ons uitgebreide aanbod. Ook maatwerk mogelijk!

Ontdek details
Volg ons online: 
LinkedIn  YouTube  Facebook
Nieuwsbrief ontvangen?
Aanmelden
Voor bedrijven
Algemene informatie
Veelgestelde vragen
Privacy
Algemene voorwaarden en regelingen
Reviewvoorwaarden
Herroeping
Sitemap
Inloggen e-Connect
NIBE-SVV