De NIS2 is het resultaat van een groeiende dreiging van cyberaanvallen op kritieke sectoren. NIS2 staat voor Network en Information Systems Directive 2. Er bestond al een NIS-richtlijn, maar deze is uitgebreid met een aantal nieuwe sectoren. Ook de inhoud van de wet is aangepast: eerst mochten EU-lidstaten zelf bepalen welke sectoren als essentieel werden beschouwd, nu zijn daar gelijkmatige regels voor vastgesteld. Tot slot stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.
De NIS-richtlijn richt zich op de essentiële sectoren (linkerkolom) én op belangrijke sectoren (rechterkolom).
Essentiële sectoren |
Belangrijke sectoren |
Energie |
Digitale aanbieders |
Transport |
Afvalstoffenbeheer |
Infrastructuur financiële markt |
Onderzoek |
Bankwezen |
Levensmiddelen |
Gezondheidszorg |
Post- en koeriersdiensten |
Overheidsdiensten |
Chemische stoffen |
Afvalwater |
Vervaardiging/ manufacturing |
Drinkwater |
|
Digitale infrastructuur |
|
Ruimtevaart |
Is jouw organisatie in het verleden door de Overheid aangemerkt als vitale aanbieder en ben je actief in één van bovengenoemde sectoren? Dan behoort jouw organisatie volgens de nieuwe CER-richtlijn* tot een essentiële entiteit. Daarnaast val je direct onder de NIS2-richtlijn wanneer jouw organisatie actief is in een van bovenstaande sectoren (tabel) en aan de hand van een van onderstaande criteria gekenmerkt kan worden.
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn, behalve vertrouwensdiensten, register voor toplevel domeinnamen, verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of van openbare elektronische communicatiediensten.
De NIS2-richtlijn schrijft verschillende verplichtingen voor aan organisaties die onder de richtlijn vallen. De verplichtingen verschillen per sector en type entiteit. Over het algemeen zijn de verplichtingen gericht op het waarborgen van de veiligheid en weerbaarheid van netwerk- en informatiesystemen. Dit zijn de verplichtingen:
Stap 1: check of de NIS2-richtlijn van toepassing is op jouw organisatie: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Stap 2: stel samen met een professioneel IT-partner een securitybeleid op
Stap 3: breng alle digitale risico’s in kaart voor jouw organisatie. Denk hierbij aan zwakke systemen, processen of software, maar ook de risico’s van jouw toeleveringsketen.
Stap 4: doe een security assessment
Stap 5: doe een phising assessment
Stap 6: zorg dat je IT security actief (laat) monitoren. Bijvoorbeeld door een managed SOC.
Naar verwachting zal de wetgeving rondom de NIS2-richtlijn eind 2024 in werking treden en zoals je in dit artikel hebt kunnen lezen moet je flink wat werk verzetten om te voldoen aan deze richtlijn. Digitale veiligheid is niet langer een optie, maar een absolute must. Wij raden aan daarom op tijd te starten met de voorbereidingen
Verbeter samen met Jelle jouw cybersecurity
* De CER-richtlijn richt zich op de bescherming van kritieke organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. Jouw organisatie behoort tot een kritieke entiteit als:
- de entiteit een of meer essentiële diensten verleent
- de entiteit is actief en haar kritieke infrastructuur bevindt zich op het grondgebied van die lidstaat
- een incident zou aanzienlijke verstorende effecten hebben, zoals bepaald overeenkomstig artikel 7, lid 1, op de verlening door de entiteit van een of meer essentiële diensten of op de verlening van andere essentiële diensten in de in de bijlage beschreven sectoren die afhankelijk zijn van die diensten