Wat is de NIS2 en hoe is deze tot stand gekomen?

De NIS2 is het resultaat van een groeiende dreiging van cyberaanvallen op kritieke sectoren. NIS2 staat voor Network en Information Systems Directive 2. Er bestond al een NIS2-richtlijn, maar deze is uitgebreid met een aantal nieuwe sectoren. Ook de inhoud van de wet is aangepast: eerst mochten EU-lidstaten zelf bepalen welke sectoren als essentieel werden beschouwd, nu zijn daar gelijkmatige regels voor vastgesteld. Tot slot stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.

Voor welke sectoren geldt de NIS2?

De NIS-richtlijn richt zich op de essentiële sectoren (linkerkolom) én op belangrijke secotren (rechterkolom). 

Deze criteria bepalen of jouw organisatie moet voldoen aan de NIS2

Is jouw organisatie in het verleden door de Overheid aangemerkt als vitale aanbieder in één van bovengenoemde sectoren? Dan behoort jouw organisatie volgens de nieuwe CER-richtlijn* tot een essentiële entiteit. Daarnaast val je direct onder de NIS2-richtlijn wanneer jouw organisatie actief is in een van bovenstaande sectoren (tabel) en aan de hand van een van onderstaande criteria gekenmerkt kan worden. 

Essentiële sectoren 

• Jouw organisatie is actief in een essentiële sector (zie tabel hierboven)
• Jouw organisatie is volgens de CER-richtlijn* aangewezen als kritieke sector
• Jouw organisatie is een grote organisatie met minimaal 240 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke sectoren

• Jouw organisatie is een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro. 

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn, behalve vertrouwensdiensten, register voor toplevel domeinnamen, verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of van openbare elektronische communicatiediensten.

Verplichtingen die de NIS2-richtlijn voorschrijft 

De NIS2-richtlijn schrijft verschillende verplichtingen voor aan organisaties die onder de richtlijn vallen. De verplichtingen verschillen per sector en type entiteit. Over het algemeen zijn de verplichtingen gericht op het waarborgen van de veiligheid en weerbaarheid van netwerk- en informatiesystemen. Dit zijn de verplichtingen: 

• Zorgplicht - Een belangrijke verplichting is de zorgplicht. Deze verplichting houdt in dat je als organisatie zelf een risicobeoordeling moet uitvoeren. Op basis hiervan neem je passende technische en organisatorische maatregelen zodat je bedrijfscontinuïteit waarborgt en netwerk- en IT-systemen beschermd. Denk hierbij aan het opstellen van een IT-security beleid of het periodiek uitvoeren van een security assessment.
• Meldplicht – je bent verplicht om incidenten te melden die een impact hebben op de continuïteit van jouw dienstverlening. Incidenten moeten, nadat je ervan op de hoogte bent, binnen 24-uur gemeld worden bij de toezichthouder. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden.
• Toezicht – jouw organisatie komt onder toezicht te staan. Dit houdt in dat er actief wordt gekeken of je je houdt aan de verplichtingen in de NIS2-richtlijn, zoals zorg- en meldplicht.

Voldoen aan de NIS2, zo bereid je jezelf voor

Stap 1: check of de NIS2-richtlijn van toepassing is op jouw organisatie: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Stap 2: stel samen met een professioneel IT-partner een securitybeleid op

Stap 3: breng alle digitale risico’s in kaart voor jouw organisatie. Denk hierbij aan zwakke systemen, processen of software, maar ook de risico’s van jouw toeleveringsketen.

Stap 4: doe een security assessment

Stap 5: doe een phising assessment

Stap 6: zorg dat je IT security actief (laat) monitoren. Bijvoorbeeld door een managed SOC.