Laatste nieuws, Security, Tips

NIS2: wat betekent het voor jouw organisatie?

NIS2
28
mei

De NIS2-richtlijn, gepland voor implementatie in 2025, brengt aanzienlijke veranderingen voor Europese organisaties op het gebied van digitale veiligheid. In deze blog bespreken we wat de NIS2-richtlijn inhoudt, de belangrijkste verschillen met NIS1, en hoe jouw organisatie zich kan voorbereiden. Lees verder om te ontdekken hoe je kunt voldoen aan de nieuwe eisen en je digitale weerbaarheid kunt versterken.

Aanstaande NIS2-Implementatie in Nederland

In de snel veranderende digitale wereld is cybersecurity cruciaal voor de bescherming van jouw bedrijfsinformatie en klantgegevens. Om die reden heeft de Europese Unie de NIS2-richtlijn geïntroduceerd. Deze richtlijn zal een grote impact hebben op de digitale structuur van Europese organisaties. Bedrijven moeten nu proactief stappen nemen op aan deze nieuwe richtlijn te voldoen.

NIS2 tijdslijn
In de afbeelding is te zien hoe de NIS2 zich heeft ontwikkeld in de afgelopen jaren en hoe het zich gaat ontwikkelen in de nabije toekomst. In 2016 werd de NIS2 opgenomen in de WBNI en de verwachting is nu dat in Kwartaal 2 of 3 van 2025 de implementatie van de nationale wet van kracht zal gaan.

Waarom is de NIS2-richtlijn er?

De Europese Unie heeft NIS2 ontworpen om de digitale weerbaarheid van infrastructuren en digitale dienstverleners te vergroten. Het doel is om de algehele cybersecurity in de Europese Unie te versterken en beter voorbereid te zijn tegen cyberdreigingen. Wat dit precies voor Nederlandse bedrijven en instanties betekent, is nog onduidelijk. De Nederlandse overheid heeft tot oktober 2024 de tijd om de richtlijnen van NIS2 om te zetten in nationale wetgeving, maar heeft al aangegeven deze deadline niet te zullen halen. De verwachting is dat eind 2024 de Nationale wet aangenomen gaat worden. Met het steeds ingewikkelder worden van digitale aanvallen en de groeiende afhankelijkheid van digitale systemen, is het noodzakelijk om regelgeving te hebben die organisaties afdwingt om de digitale veiligheid serieus te nemen.

Verschil ten opzichte van NIS1

Ten opzichte van NIS1 brengt de NIS2-richtlijn een aantal veranderingen met zich mee, waaronder de toevoeging van nieuwe sectoren. Wanneer de NIS2 niet wordt nageleefd, worden de bestuurders van de organisatie hiervoor aansprakelijk gesteld. Zo kan de bestuurder persoonlijk aansprakelijk worden gesteld voor de schade die is veroorzaakt door een cyberincident indien niet de juiste maatregelen zijn genomen. De bestuurder kan ook een boete opgelegd krijgen van maximaal €100.000 per bestuurder. Naast de aansprakelijkheden is de meldplicht uitgebreid. De richtlijn schrijft voor dat bedrijven die onder de NIS2 vallen, cyberincidenten binnen 24 uur bij de toezichthouder moeten melden.

Val ik onder de NIS2?

De NIS2 richt zich op kritieke organisaties en sectoren die een risico vormen voor maatschappelijke en economische ontwrichting bij uitval van hun diensten. Organisaties vallen automatisch onder de NIS2-richtlijn als ze behoren tot de sectoren die vermeld staan in bijlagen 1 en 2 en worden aangemerkt als “essentiële” of “belangrijke” entiteiten. Micro- en kleinbedrijven vallen in principe niet onder de NIS2-wetgeving, tenzij hun dienstverlening cruciaal blijkt te zijn voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd.

Essentiële entiteiten:

  • Grote organisaties die actief zijn in een sector uit bijlage 1
  • Een organisatie is groot op basis van de volgende criteria:
    1. Minimaal 250 werknemers of;
    2. Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten:

  • Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2.
  • Een organisatie is middelgroot op basis van de volgende criteria:
    1. Minimaal 50 werknemers of;
    2. Een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
NIS2 entiteiten tabel
De afbeelding toont sectoren onder de NIS2-richtlijn, verdeeld in essentiële (bijlage 1) en belangrijke entiteiten (bijlage 2). Essentiële entiteiten omvatten sectoren zoals energie, vervoer en gezondheidszorg. Belangrijke entiteiten omvatten sectoren zoals postdiensten, chemische industrie en voedselproductie. Deze classificatie bepaalt de nalevingsvereisten van de NIS2-richtlijn.

Impact op jouw organisatie

De richtlijn van de NIS2 heeft betrekking op een breed scala aan organisaties en zoals eerder genoemd zijn hier een hoop sectoren bij gekomen. Het vereist dat deze organisaties de risico’s in kaart gaan brengen en hierop zowel technische als organisatorische maatregelen nemen om de kans op (en impact van) een cyberaanval te verlagen. Indien je als organisatie niet voldoet aan de verplichtingen van de NIS2-richtlijn, loop je risico op boetes en sancties. Hiermee proberen de beleidsmakers de cybersecurity in de Europese Unie in een rap tempo op te krikken.

Boetes voor essentiële entiteiten:

  • Boetes tot €10 miljoen of 2% van de jaaromzet

Boetes voor belangrijke entiteiten:

  • Boetes tot €7 miljoen of 1,4% van de jaaromzet

Naast boetes kunnen toezichthoudende instanties ook andere sancties opleggen om naleving van de NIS2 wetgeving af te dwingen. In extreme gevallen kan de toegang tot de IT-systemen permanent gesloten worden of kunnen de bestuurders van de organisaties juridisch vervolgd worden.

NIS2 verplichtingen  

Zorgplicht: digitale veiligheid als prioriteit
Onder de NIS2-richtlijn krijgen organisaties een zorgplicht opgelegd om de digitale veiligheid van hun netwerk- en informatiesystemen te waarborgen. Deze zorgplicht vereist passende maatregelen om de risico’s van cyberdreigingen te minimaliseren en de weerbaarheid van systemen continu te verbeteren. Entiteiten worden verplicht om zelf een risicobeoordeling te doen.

Meldplicht: transparantie en snel handelen
Naast de zorgplicht introduceert de NIS2 ook een meldplicht voor organisaties die te maken krijgen met cyberincidenten. Het gaat hier dan om incidenten die de dienstverlening sterk verstoren of zouden kunnen verstoren. De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder en bij het Computer Security Incident Response Team (CSIRT). Het is essentieel om transparant te zijn en snel te handelen bij incidenten die de dienstverlening kunnen beïnvloeden.

Toezicht: Controle en Handhaving
Als derde verplichting heb je toezicht. Om ervoor te zorgen dat de verplichtingen gehandhaafd worden, komen er een aantal onafhankelijke toezichthouders. Deze autoriteiten zullen controleren of organisaties passende maatregelen hebben genomen om hun digitale infrastructuur te beveiligen. Daarnaast kijken ze of er effectief wordt gereageerd op incidenten volgens de richtlijnen van de zorg- en meldplicht. Essentiële entiteiten worden doorlopend gecontroleerd op naleving door de onafhankelijke toezichthouders. Belangrijke entiteiten worden alleen gecontroleerd op naleving als er een cyberincident heeft plaatsgevonden.

NIS2 compliance: zelfcheck en zorgplichtmaatregelen

Het ministerie van veiligheid en justitie heeft een vragenlijst gemaakt, waarmee jij zelf kunt evalueren of je onder de NIS2 wetgeving valt. Weten of jouw organisatie onder de NIS2 valt? Check de vragenlijst op de website van het NCSC via de link: NIS2 checklist

Bedrijven die onder de NIS2 vallen moeten maatregelen nemen om zich te beschermen tegen cyberincidenten. Op de website van het Digital Trust Center van de Nederlandse overheid staan deze maatregelen. Check ze via de link: Maatregelen

DesktopToWork

Benieuwd wat wij voor jouw organisatie kunnen betekenen? Vraag een gratis adviesgesprek aan!

Adviesgesprek

Altijd, overal en op ieder apparaat veilig met elkaar werken.

Ik wil meer weten