Keyboard with rainbow lighting

Ben jij klaar voor NIS2?

Ben jij klaar voor NIS2?

De Network and Information Security directive, NIS2-richtlijn, is de opvolger van de NIS-richtlijn die is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2 is vastgesteld door de Europese Unie en is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2 wordt momenteel naar Nederlandse wetgeving vertaald. Naar verwachting zal deze Nederlandse wet in 2025 in werking treden.

Welke verplichtingen brengt NIS2 met zich mee?

Zorgplicht

De NIS2-richtlijn bevat een zorgplicht die organisatie verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen. Onder de zorgplicht vallen tenminste de onderstaande maatregelen.

  • Een risicoanalyse en beveiliging van informatiesystemen;
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
  • Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  • Incidentenbehandeling;
  • Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  • Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  • Beveiliging van de toeleveranciersketen;
  • Beleid en procedures over het gebruik van cryptografie en encryptie;
  • Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
  • Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Meldplicht

De NIS2 schrijft voor dat organisaties incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de werking van een essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren om het incident op te lossen. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door een verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Registratieplicht

Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal organisaties dat onder de NIS2 valt.

Toezicht

Organisaties die onder de NIS2 richtlijn vallen komen onder toezicht te staan. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn. Organisaties die onder de NIS2-richtlijn vallen moeten vanaf het moment van in werking treden (naar verwachting in 2025) aan de zorgplicht en meldplicht voldoen.

Welke organisaties vallen onder NIS2?

Er wordt binnen de NIS2-richtlijn onderscheid gemaakt tussen essentiële en belangrijke organisaties. Van essentiële organisaties wordt over het algemeen aangenomen dat de uitval van hun diensten een grotere ontwrichtende impact heeft op de economie en samenleving, dan de uitval van diensten bij belangrijke entiteiten. Essentiële organisaties vallen hierdoor ook onder een intensiever regime van toezicht; zowel vooraf als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke organisaties geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet of als een incident heeft plaatsgevonden.

Essentiële organisaties die onder de NIS2-richtlijn vallen behoren tot de volgende sectoren:

  • Energie
  • Transport
  • Bakwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart

Daarbij zijn de criteria dat deze organisaties groot zijn met minimaal 250 werknemers, of een jaaromzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.

Belangrijke organisaties die onder de NIS2-richtlijn vallen behoren tot de volgende sectoren:

  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Daarbij zijn de criteria dat deze organisaties middelgroot zijn op basis van 50 of meer werknemers, of een jaaromzet en balanstotaal van €10 miljoen of meer.

Wil jij weten of jouw organisatie onder de nieuwe NIS2-richtlijn valt? Voer dan deze zelfevaluatie uit.

Links:

NCSC

Digital Trust Center

Vraag een vrijblijvend adviesgesprek aan

Bent u benieuwd wat we voor uw organisatie kunnen betekenen? Vraag een vrijblijvend adviesgesprek aan met een van onze oprichters.

Contact opnemen