NIS2 en DORA uitleg in een notendop

De Network and Information Security Directive, of NIS2-richtlijn, is de opvolger van de huidige NIB-richtlijn. De NIS2-richtlijn gaat dieper in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberaanvallen en andere beveiligingsrisico’s. De nieuwe richtlijnen zouden op 18 oktober 2024 van kracht worden, maar de implementatie blijkt complexer te zijn dan verwacht, waardoor er uitstel is aangekondigd. Let op: uitstel betekent niet dat de richtlijnen niet zullen worden ingevoerd.

Voor wie gelden deze richtlijnen? Naast de bestaande aanbieders van essentiële diensten (AED’s) is de NIS2-richtlijn gericht op essentiële NIS2-kritische sectoren. Daarnaast zijn er ook zeven andere belangrijke entiteiten toegevoegd.

Naast NIS2 is er nog een cybersecurityrichtlijn die binnenkort van kracht gaat: de Digital Operational Resilience Act (DORA). DORA richt zich op de bescherming van netwerken en informatiesystemen in de financiële sector. DORA is specifiek bedoeld voor de financiële sector in de EU. Zij hebben tot 17 januari 2025 de tijd om aan de regelgeving¹ te voldoen

Deze twee richtlijnen zijn niet nieuw en er zijn verschillen tussen NIS2 en DORA. Buiten het feit dat NIS2 voor AED’s is en DORA voor de financiële sector, leidt NIS2 als richtlijn welke binnen elke lidstaat van de EU tot eigen wetgeving leidt. DORA daarentegen is een verordening die in elke lidstaat op dezelfde manier geldt.

De NIS2-richtlijn geldt voor twee hoofdgroepen van entiteiten: essentiële entiteiten en belangrijke entiteiten. Hieronder een overzicht van de sectoren en soorten entiteiten die onder de NIS2-richtlijn² vallen:

Essentiële Kritische Entiteiten:
  • Afvalwater
  • Bankwezen
  • Beheerders van ICT-diensten
  • Digitale infrastructuur
  • Drinkwater
  • Energie
  • Gezondheidszorg
  • Infrastructuur financiële markt
  • Lokale overheden
  • Overheidsdiensten
  • Ruimtevaart
  • Transport
Belangrijke Entiteiten:
  • Afvalstoffenbeheer
  • Chemische stoffen
  • Digitale aanbieders
  • Levensmiddelen
  • Onderzoek
  • Post- en koeriersdiensten
  • Vervaardiging / manufacturing

Toeleveranciers van een NIS2 bedrijf kan gevraagd worden dat zij hun cybersecurity maatregelen moeten evalueren en mogelijk versterken, en processen moeten opzetten voor effectieve incidentdetectie, -rapportage en -reactie.

DORA richt zich specifiek op de financiële sector en stelt eisen aan de digitale operationele weerbaarheid van financiële instellingen, zoals banken, verzekeraars en beleggingsmaatschappijen. DORA en NIS2 zijn op elkaar afgestemd om juridische duidelijkheid en samenhang te garanderen tussen de verschillende cybersecurity maatregelen binnen de EU. Daarnaast geldt DORA ook voor bedrijven die diensten verlenen aan financiële instellingen, zoals IT-beheerbedrijven, softwareontwikkelaars en datacenters. Ook deze dienstverleners moeten zich aan de DORA-richtlijnen houden.

DORA is van toepassing op een breed scala aan entiteiten binnen de financiële sector, evenals de derde partijen die IT-diensten aan deze entiteiten leveren. Hier is een overzicht van de belangrijkste categorieën van entiteiten die onder DORA vallen:

  • Banken
  • Verzekeraars
  • Beleggingsondernemingen
  • Marktinfrastructuren
  • Andere financiële entiteiten
  • Externe ICT-dienstverleners
  • Derde partijen die IT-diensten leveren aan financiële entiteiten.
Wat betekent dit voor organisaties?

Om uw organisatie voor te bereiden op de Wet weerbaarheid kritieke entiteiten en de Cyberbeveiligingswet die voortkomen uit de CER- en NIS2-richtlijnen is het nodig om zo snel mogelijk te starten met de volgende maatregelen:

  • Voer een risicoanalyse uit om fysieke en digitale bedreigingen te identificeren die de dienstverlening van uw organisatie kunnen verstoren.
  • Neem waar mogelijk maatregelen om uw organisatie beter te beschermen tegen deze risico’s.
  • Ontwikkel procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen kunnen verstoren, te detecteren, monitoren, oplossen en rapporteren.

Ondernemingen kunnen zich al voorbereiding³ op DORA door zich op 4 vlakken te oriënteren:

1 ICT risicobeheer
  • Het framework voor ICT-risicomanagement, in lijn met het Enterprise Risk Management
  • De inrichting van monitoring, behandeling en follow-up van afwijkende activiteiten, inclusief de inrichting van back-ups
  • Het ICT-bedrijfscontinuïteitsplan dat periodiek wordt getest
2 Awareness-programma’s op het gebied van IT, in lijn met het takenpakket van de medewerkers
3 ICT-gerelateerde incidenten:
  • Proces van detecteren en afhandelen incidenten
  • Overzicht bijhouden van voorgedane IT-incidenten.
4 Testen weerbaarheid:

Opstellen van een programma voor testen digitale operationele weerbaarheid.

Werk aan de winkel!

Wees bewust van het feit dat DORA en NIS2 zoveel werk genereert voor de cybersecurity sector dat er waarschijnlijk niet genoeg mensen zijn om al dit werk uit te voeren binnen de gestelde tijd. Niet alleen de schaarste van Security-specialisten maar de controle krijgen over de risico’s bij derden, de zogenoemde ketenverantwoordelijkheid, is een uitdaging. Daar kunnen de security oplossingen van 123 Security bij helpen!