NIS2 Compliance Checklist — 10 Mandatory Measures for EU Businesses

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is de alomvattende cyberbeveiligingswetgeving van de Europese Unie, die de oorspronkelijke Richtlijn netwerk- en informatiebeveiliging van 2016 vervangt. Aangenomen op 14 december 2022, breidt NIS2 het toepassingsgebied van betrokken organisaties aanzienlijk uit, introduceert specifieke beveiligingsvereisten en stelt aanzienlijke sancties vast bij niet-naleving.

NIS2 treft naar schatting 160.000 entiteiten in de EU, vergeleken met ongeveer 10.000 onder de oorspronkelijke NIS-richtlijn. De richtlijn bestrijkt 18 sectoren, ingedeeld als „essentiële“ (Bijlage I) of „belangrijke“ (Bijlage II) entiteiten:

• Essentiële entiteiten (Bijlage I): Energie, vervoer, bankwezen, financiëlemarktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer, overheid, ruimtevaart
• Belangrijke entiteiten (Bijlage II): Post- en koeriersdiensten, afvalbeheer, chemie, voeding, maakindustrie, digitale aanbieders (onlinemarktplaatsen, zoekmachines, sociale netwerken), onderzoeksorganisaties

Key Timeline

De 10 beveiligingsmaatregelen van Artikel 21

Artikel 21 van NIS2 verplicht essentiële en belangrijke entiteiten om „passende en evenredige technische, operationele en organisatorische maatregelen“ te nemen om cyberbeveiligingsrisico's te beheersen. Deze maatregelen moeten gebaseerd zijn op een gevarenoverkoepelende aanpak en ten minste de volgende tien gebieden bestrijken:

1. Risicoanalyse en beveiligingsbeleid voor informatiesystemen

Vereiste:Uitgebreid cyberbeveiligingsbeleid opstellen en onderhouden dat risicobeoordelingsmethodologieën, assetclassificatie en acceptabel gebruik dekt. Beleid moet worden goedgekeurd door de directie en ten minste jaarlijks worden herzien.

Implementatiestappen: Voer een risicobeoordeling uit volgens ISO 27005 of NIST SP 800-30. Documenteer een informatiebeveiligingsbeleid afgestemd op ISO 27001. Classificeer alle informatie-assets op kriticaliteit. Definieer risicoacceptatiecriteria en behandelplannen. Wijs beleidsverantwoordelijkheid en herzieningstermijnen toe.

Vereist bewijs: Schriftelijk beveiligingsbeleid goedgekeurd door de directie, risicobeoordelingsrapport, asset-inventaris, risicobehandelplan, jaarlijkse herzieningsverslagen.

2. Incidentafhandeling

Vereiste:Procedures implementeren voor preventie, detectie, analyse, inperking en respons op cyberbeveiligingsincidenten. NIS2 introduceert specifieke meldtermijnen: vroegtijdige waarschuwing binnen 24 uur, volledige melding binnen 72 uur en eindrapport binnen één maand aan het aangewezen CSIRT.

Implementatiestappen: Ontwikkel een incidentresponsplan met gedefinieerde rollen (RACI-matrix). Zet een 24/7-detectiecapaciteit op of contracteer een MDR-dienst. Definieer classificatiecriteria en escalatieprocedures. Test het plan met regelmatige tabletop-oefeningen.

Vereist bewijs: Incidentresponsplan, CSIRT-contactgegevens en meldsjablonen, incidentenlog, rapporten van tabletop-oefeningen, post-incidentdocumentatie.

3. Bedrijfscontinuïteit en crisismanagement

Vereiste:Bedrijfscontinuïteit waarborgen door back-upbeheer, disaster recovery en crisismanagementprocedures.

Implementatiestappen: Voer een BIA uit. Implementeer geautomatiseerde back-upsystemen met geteste herstelprocedures. Ontwikkel een DR-plan met gedefinieerde RTO en RPO. Stel een crisiscommunicatieplan op.

Vereist bewijs: BIA, back-upbeleid en hersteltestlogs, DR-plan, crisismanagementprocedures, jaarlijkse DR-testresultaten.

4. Beveiliging van de toeleveringsketen

Vereiste:Beveiligingsrisico's in relaties met directe leveranciers en dienstverleners aanpakken, inclusief beoordeling van productkwaliteit en cyberbeveiligingspraktijken.

Implementatiestappen: Maak een leveranciersinventaris met kriticaliteitsclassificatie. Definieer minimale beveiligingsvereisten. Voer jaarlijks beveiligingsbeoordelingen van kritieke leveranciers uit. Monitor de beveiligingshouding van leveranciers. Neem incidentmeldingsvereisten op in contracten.

Vereist bewijs: Leveranciersinventaris en risicoclassificatie, beveiligingsclausules in contracten, beoordelingsrapporten, incidentresponsplan voor de toeleveringsketen.

5. Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen

Vereiste: Beveiliging integreren in de gehele levenscyclus van systemen, inclusief kwetsbaarheidsbeheer en -openbaarmaking.

Implementatiestappen: Implementeer een SSDLC. Voer beveiligingstests (SAST, DAST, SCA) uit in CI/CD-pipelines. Richt een kwetsbaarheidsbeheersingsprogramma in. Definieer een beleid voor openbaarmaking van kwetsbaarheden.

Vereist bewijs: SSDLC-documentatie, beveiligingstestrapporten, kwetsbaarheidsbeleid, patchbeheerslogs, openbaarmakingsbeleid.

6. Beleid en procedures voor het beoordelen van de effectiviteit van risicobeheer

Vereiste:Beleid en procedures opstellen om te evalueren of de geïmplementeerde maatregelen effectief zijn. Regelmatig testen, auditen en meten van beveiligingsmaatregelen.

Implementatiestappen:Definieer beveiligingsmetrieken en KPI's. Plan regelmatige interne audits en penetratietests. Implementeer tools voor continue monitoring. Voer kwartaalreviews van beveiligingsprestaties uit. Overweeg externe audits of certificeringen.

Vereist bewijs: Beveiligingsmetriekendashboard, interne auditrapporten, penetratietestrapporten, notulen van directiereviews, certificeringsverslagen.

7. Basispraktijken voor cyberhygiëne en opleiding

Vereiste:Basispraktijken voor cyberhygiëne implementeren en regelmatige cyberbeveiligingstraining voor alle medewerkers, inclusief de directie, verzorgen.

Implementatiestappen: Zet een bewustwordingsprogramma op. Bied gespecialiseerde training voor de directie. Implementeer phishingsimulaties. Handhaaf wachtwoordbeleid, apparaatencryptie, clean desk-beleid en veilig thuiswerken.

Vereist bewijs:Trainingsmaterialen en voltooiingsregistraties, phishingsimulatieresultaten, cyberhygiënebeleid, trainingscertificaten van de directie.

8. Beleid en procedures betreffende cryptografie en encryptie

Vereiste: Beleid opstellen over het gebruik van cryptografie en, waar passend, encryptie ter bescherming van vertrouwelijkheid, authenticiteit en integriteit van gegevens.

Implementatiestappen: Definieer een cryptografiebeleid. Implementeer TLS 1.2+. Versleutel gevoelige gegevens in rust met AES-256. Richt sleutelbeheersingsprocedures in. Documenteer cryptografische inventarissen.

Vereist bewijs: Cryptografiebeleid, TLS-configuratielogs, encryptiedocumentatie, sleutelbeheersingsprocedures, cryptografische inventaris.

9. Beveiliging van personeel, toegangscontrole en assetbeheer

Vereiste: Beveiligingsmaatregelen met betrekking tot personeel, toegangscontrolebeleid (minimale rechten, RBAC) en assetbeheer implementeren.

Implementatiestappen: Implementeer RBAC met het principe van minimale rechten. Stel onboarding-/offboarding-checklists op. Onderhoud een volledige asset-inventaris. Voer periodieke toegangsbeoordelingen uit. Implementeer MFA voor alle beheerders- en externe toegang.

Vereist bewijs: Toegangscontrolebeleid, RBAC-matrix, onboarding-/offboarding-checklists, asset-inventaris, toegangsbeoordelingslogs, MFA-documentatie.

10. Multifactorauthenticatie, beveiligde communicatie en noodcommunicatiesystemen

Vereiste: Multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen gebruiken.

Implementatiestappen: Implementeer MFA voor alle gebruikersaccounts met toegang tot kritieke systemen. Implementeer end-to-end versleutelde communicatiekanalen. Richt out-of-band noodcommunicatieprocedures in. Test noodcommunicatiesystemen regelmatig.

Vereist bewijs: MFA-implementatielogs, documentatie beveiligd communicatieplatform, noodcommunicatieplan en testresultaten, gebruikersregistratiestatistieken, uitzonderingsdocumentatie.

Penalties for Non-Compliance

NIS2 introduces a tiered penalty structure that makes cybersecurity a board-level concern:

Beyond financial penalties, NIS2 introduces personal liability for management. Article 20 states that management bodies of essential and important entities must approve and oversee cybersecurity risk management measures and can be held personally liable for infringements. Supervisory authorities can impose temporary bans on individuals exercising management functions if they fail to comply.

Verantwoordelijkheid van de directie onder NIS2

NIS2 adresseert uitdrukkelijk het misverstand dat „cyberbeveiliging een IT-probleem is“. Artikel 20 vereist dat:

• Bestuursorganen de maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren
• Bestuursorganen de uitvoering van die maatregelen toezien
• Leden van de directie opleiding volgen om voldoende kennis en vaardigheden te verwerven om risico's te identificeren en cyberbeveiligingspraktijken te beoordelen
• Alle medewerkers regelmatige training ontvangen

Dit betekent dat de CEO, CFO en bestuursleden persoonlijk aansprakelijk gesteld kunnen worden voor cyberbeveiligingstekortkomingen. Dit is een aanzienlijke verandering ten opzichte van eerdere EU-cyberbeveiligingswetgeving en weerspiegelt de persoonlijke aansprakelijkheidsbepalingen in de financiële regelgeving.

Vereisten voor incidentmelding

NIS2 stelt een gestructureerd driefasenproces voor incidentmelding vast voor significante incidenten:

1. Vroegtijdige waarschuwing (24 uur): Binnen 24 uur na kennisname van een significant incident moet de entiteit een vroegtijdige waarschuwing indienen bij het aangewezen CSIRT of de bevoegde autoriteit, waarbij wordt aangegeven of het incident vermoedelijk het gevolg is van onrechtmatige of kwaadwillige handelingen en of het een grensoverschrijdende impact zou kunnen hebben.
2. Incidentmelding (72 uur): Binnen 72 uur moet een volledige incidentmelding worden ingediend met een eerste beoordeling van het incident (ernst, impact), indicatoren van compromittering indien van toepassing, en de responsmaatregelen van de entiteit.
3. Eindrapport (1 maand):Binnen één maand na de incidentmelding moet een eindrapport worden ingediend met een gedetailleerde beschrijving van het incident, analyse van de grondoorzaken, toegepaste herstelmaatregelen en eventuele grensoverschrijdende impact.

Aan de slag met NIS2-compliance

Het traject naar NIS2-compliance begint met het begrijpen van uw huidige beveiligingshouding. Een gap-analyse aan de hand van de 10 maatregelen van Artikel 21 laat zien waar u staat en wat er nog gedaan moet worden. Voor de meeste organisaties zijn de prioriteitsgebieden:

1. Risicobeoordeling en beleid (Maatregel 1):Dit is het fundament waarop al het andere rust. Zonder inzicht in uw risico's kunt u middelen niet effectief toewijzen.
2. Incidentafhandeling (Maatregel 2):De meldverplichting van 24 uur betekent dat detectiecapaciteiten en responsprocedures operationeel moeten zijn vóór een incident zich voordoet.
3. Beveiliging van de toeleveringsketen (Maatregel 4):Vaak het langst om te implementeren omdat het interactie met derden vereist. Begin vroeg.
4. Technische maatregelen (Maatregelen 5, 8, 10):Geautomatiseerde scantools kunnen snel lacunes in uw technische beveiligingshouding identificeren: kwetsbaarheidsbeheer, encryptie en authenticatie.