BIO 2.0 en risico gebaseerde aanpak
In 2019 introduceerde de Nederlandse overheid de eerste versie van de Baseline Informatiebeveiliging Overheid (BIO). Deze is gericht op een uniforme informatiebeveiliging voor overheidsorganisaties. Inmiddels zijn we bij BIO 2.0 die eind 2024 een risico gebaseerde aanpak introduceert in lijn met de nieuwste ISO 27001- en ISO 27002:2022-normen.
Parallel hieraan wordt de Europese NIS-richtlijn vernieuwd naar NIS2, met bijgewerkte risico’s en een uitgebreidere sectorale dekking. Deze nieuwe regelgeving, die eind 2024 in Nederland wordt ingevoerd, stemt de zorgplichten af op de ISO-normen met een effectieve Plan/Do/Check/Act cyclus voor risicobeheer.
Van toepassing op verschillende sectoren
In tegenstelling tot de BIO, die zich primair richt op de bescherming van de Nederlandse (rijks)overheid en haar informatie, is de NIS2 van toepassing op een bredere groep organisaties met een risico gebaseerde benadering.
NIS2 richt zich op een uitbreiding en verfijning van het regelgevingskader voor het beveiligen van digitale systemen en netwerken in essentiële en belangrijke sectoren. De ‘essentiële organisaties’ zijn vaak grootschalig en complex en hebben een grote impact op de maatschappij. Denk daarbij aan die in energie, transport, bankwezen, gezondheidszorg of overheidsdiensten. Anderzijds zijn de ‘belangrijke organisaties’ misschien dan wel kleiner maar net zo cruciaal. Denk aan digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging.
Van compliance-based naar risk-based
De verschuiving van een ‘compliance-based approach’ naar een ‘risk-based approach’ vereist dat organisaties zelf hun risico’s analyseren en op basis daarvan maatregelen nemen. Het grootste verschil tussen ‘compliance-based’ en ‘risk-based’ benaderingen is voornamelijk te zien in het beoogde einddoel: ‘compliance’ richt zich op het volgen van regels, terwijl bij risicobeheer het doel is om de risico’s in kaart te brengen die een organisatie kunnen treffen en voor elk risico een specifieke respons vast te stellen. Meer hierover lees je in onze whitepaper: Van een compliance-based approach naar een risk-based approach.
Inclusie van leveranciers
Een ander belangrijk aspect van NIS2 is dat leveranciers nu ook onder het beveiligingsdomein vallen. “De ketting is zo sterk als de zwakste schakel” geldt zeker in deze tijd van digitalisering en verbondenheid. Omdat alles zo met elkaar verweven is, moeten ook leveranciers die diensten en producten aan belangrijke organisaties leveren aan de NIS2-eisen voldoen. Dit betekent dat de verantwoordelijkheid voor risicobeheer niet alleen binnen, maar ook tussen organisaties ligt.
NIS2 zorgt ervoor dat niet alleen essentiële en belangrijke organisaties, maar ook hun leveranciers, samen moeten werken aan strenge beveiligingsmaatregelen. Dit benadrukt hoe belangrijk een gezamenlijke aanpak is om de cyberveiligheid in Nederland en Europa te versterken.
Conclusie
Hoewel de NIS2 en BIO uit verschillende hoeken komen, is de samenwerking tussen Europese en Nederlandse regelgeving cruciaal om onze digitale infrastructuren te beschermen. Door beide regelgevingen effectief uit te voeren, zetten we een robuuste verdediging op tegen de cyberdreigingen van vandaag en morgen. Het beschermen van onze digitale wereld is een complexe maar haalbare taak als we de nuances van deze regelgevingen begrijpen en de implementatie ervan serieus nemen. Gezamenlijk werken we naar een veiligere en weerbare digitale toekomst.
