PC1804

orderForm.title

orderForm.productCode

orderForm.description

orderForm.quantity

orderForm.itemPrice

orderForm.price

orderForm.totalPrice

orderForm.deliveryDetails.name

orderForm.deliveryDetails.accountNumber

orderForm.deliveryDetails.phone

orderForm.deliveryDetails.poNumber

orderForm.deliveryDetails.email

orderForm.deliveryDetails.companyName

orderForm.deliveryDetails.billingAddress

orderForm.deliveryDetails.deliveryAddress

orderForm.deliveryDetails.deliveryDetailsDeliveryAddressSameAsBillingAddress

orderForm.deliveryDetails.address1

orderForm.deliveryDetails.address2

orderForm.deliveryDetails.city

orderForm.deliveryDetails.state

orderForm.deliveryDetails.postCode

orderForm.deliveryDetails.country

orderForm.deliveryDetails.additionalInformation

orderForm.noItems

Cybersecurity Applied Risk over nieuwe Europese cybersecuritywet

EU NIS Directive vraagt om O

De EU NIS Directive, kortweg NIS, is een nieuwe Europese richtlijn die er op is gericht aanbieder van essentiële diensten (AED) binnen de Europese samenleving digitaal weerbaar te maken. Deze richtlijn wordt door de lidstaten omgezet in wet- en regelgeving. En volgens de definities van deze richtlijn vallen bepaalde sectoren van de Nederlandse procesindustrie ook onder deze categorie. Auke Huistra, Partner bij Applied Risk praat ons bij over wat u moet weten over deze nieuwe richtlijn.

p 9 mei 2018 is de NIS van kracht gegaan in Europa. De lidstaten zijn bezig om de- ze richtlijn om te zetten in wet- en regel- geving. In Nederland ligt momenteel een

Auke Huistra

wetsvoorstel voor een nieuwe Cybersecuritywet voor bij de Tweede Kamer. De NIS richt zich op aanbieders van essentiële diensten binnen de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infra- structuur. Nederland voegt daar in haar wetgeving nog andere vitale aanbieders beheerders aan toe zo- als primaire waterkeringen en organisaties in de sec- tor nucleair. “Bij vervoer moet je bijvoorbeeld denken aan het spoor en dan vooral de procesautomatisering van het spoor”, licht Huistra toe. Huistra verwacht niet dat op korte termijn organisa- ties uit andere sectoren zullen worden aangemerkt als AED. “Ik denk niet dat er voor bijvoorbeeld de maak- industrie ook dit soort regelgeving aan zit te komen. De criteria vanuit de EU hebben vooral te maken met in hoeverre de samenleving echt last ondervindt bij het mogelijk uitvallen van zo’n bedrijf.”

Meldplicht De AED’s moeten vanaf nu kunnen aantonen dat ze voldoen aan bepaalde, door de nationale overheid vastgestelde, minimale eisen op het gebied van cyber security. Vervolgens moeten eventuele incidenten worden gemeld aan een nationale autoriteit. “Bij de incidenten die gemeld moeten worden, moet je den- ken aan IT-incidenten die uiteindelijk operationele consequenties kunnen hebben”, verduidelijkt Huistra. “Als een elektriciteitsbedrijf een IT-incident heeft, waardoor er tijdelijk geen elektriciteit opgewekt, of getransporteerd kan worden, moet dat dus gemeld worden.” Dat melden dient te gebeuren richting de bevoegde autoriteit, als ook naar het Nationaal Cyber Security Centrum.

WGMC In Nederland zijn er vier verschillende bevoegde auto- riteiten aangewezen waar incidenten gemeld moeten worden: de financiële sector, de energiesector/digi- tale infrastructuur, de sectoren vervoer/drinkwater en de gezondheidszorg hebben hun eigen specifieke autoriteit. “Voor sommige landen en voor sommige sectoren is die meldplicht nieuw”, vervolgt Huistra. “We hebben in Nederland een voorloper op deze wet gehad: de Wet Gegevensverwerkingen Meldplicht Cybersecurity (WGMC). Bedrijven die al onder deze wet vielen, zijn vaak al deels voorbereid op de nieuwe Europese wet. De bedrijven die echter voorheen niet onder de WGMC vielen en nu wél onder de NIS heb- ben de grootste uitdaging.” De WGMC zal op relatief korte termijn worden onder- gebracht in een nieuwe Nederlandse cybersecurity- wet. “De overheid is op dit moment met de verschil- lende sectoren aan het kijken naar welke bedrijven straks onder de noemer ‘essentiële dienstverlener’ zullen vallen. Het kan straks zo zijn dat bij grote be- drijven een deel van een bedrijf wel onder die wet valt en een ander deel niet.”

Uitbesteed Een van de gevolgen van de nieuwe Cybersecuritywet is de melding naar de nationale autoriteit. “Dat kan best een complex proces zijn”, weet Huistra. “Je moet dan in je hele proces gaan regelen dat een incident, dat ergens centraal wordt opgepikt, op de juiste

14 | nummer 4 | 2018

Page 1 | Page 2 | Page 3 | Page 4 | Page 5 | Page 6 | Page 7 | Page 8 | Page 9 | Page 10 | Page 11 | Page 12 | Page 13 | Page 14 | Page 15 | Page 16 | Page 17 | Page 18 | Page 19 | Page 20 | Page 21 | Page 22 | Page 23 | Page 24 | Page 25 | Page 26 | Page 27 | Page 28 | Page 29 | Page 30 | Page 31 | Page 32 | Page 33 | Page 34 | Page 35 | Page 36 | Page 37 | Page 38 | Page 39 | Page 40 | Page 41 | Page 42 | Page 43 | Page 44 | Page 45 | Page 46 | Page 47 | Page 48