Alles wat je moet weten over de NIS2-wetgeving

Alles wat je moet weten over de nieuwe NIS2-wetgeving

Silke Algera - 30 januari 2024

Om cyberweerbaarheid op internationaal niveau te verbeteren en onze samenleving te beschermen heeft de EU de nieuwe NIS2 wetgeving geïntroduceerd. Mogelijk is de nieuwe wet ook van toepassing op de sector waarin jouw organisatie zich bevindt en moet je maatregelen nemen om IT security te verbeteren.

Wat is de NIS2 en hoe is deze tot stand gekomen?

De NIS2 is het resultaat van een groeiende dreiging van cyberaanvallen op kritieke sectoren. NIS2 staat voor Network en Information Systems Directive 2. Er bestond al een NIS-richtlijn, maar deze is uitgebreid met een aantal nieuwe sectoren. Ook de inhoud van de wet is aangepast: eerst mochten EU-lidstaten zelf bepalen welke sectoren als essentieel werden beschouwd, nu zijn daar gelijkmatige regels voor vastgesteld. Tot slot stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten.

Voor welke sectoren geldt de NIS2?

De NIS-richtlijn richt zich op de essentiële sectoren (linkerkolom) én op belangrijke sectoren (rechterkolom).

Essentiële sectoren	Belangrijke sectoren
Energie	Digitale aanbieders
Transport	Afvalstoffenbeheer
Infrastructuur financiële markt	Onderzoek
Bankwezen	Levensmiddelen
Gezondheidszorg	Post- en koeriersdiensten
Overheidsdiensten	Chemische stoffen
Afvalwater	Vervaardiging/ manufacturing
Drinkwater
Digitale infrastructuur
Ruimtevaart

Deze criteria bepalen of jouw organisatie moet voldoen aan de NIS2

Is jouw organisatie in het verleden door de Overheid aangemerkt als vitale aanbieder en ben je actief in één van bovengenoemde sectoren? Dan behoort jouw organisatie volgens de nieuwe CER-richtlijn* tot een essentiële entiteit. Daarnaast val je direct onder de NIS2-richtlijn wanneer jouw organisatie actief is in een van bovenstaande sectoren (tabel) en aan de hand van een van onderstaande criteria gekenmerkt kan worden.

Essentiële sectoren

Jouw organisatie is actief in een essentiële sector (zie tabel hierboven)
Jouw organisatie is volgens de CER-richtlijn* aangewezen als kritieke sector
Jouw organisatie is een grote organisatie met minimaal 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke sectoren

Jouw organisatie is een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn, behalve vertrouwensdiensten, register voor toplevel domeinnamen, verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of van openbare elektronische communicatiediensten.

Verplichtingen die de NIS2-richtlijn voorschrijft

De NIS2-richtlijn schrijft verschillende verplichtingen voor aan organisaties die onder de richtlijn vallen. De verplichtingen verschillen per sector en type entiteit. Over het algemeen zijn de verplichtingen gericht op het waarborgen van de veiligheid en weerbaarheid van netwerk- en informatiesystemen. Dit zijn de verplichtingen:

Zorgplicht - Een belangrijke verplichting is de zorgplicht. Deze verplichting houdt in dat je als organisatie zelf een risicobeoordeling moet uitvoeren. Op basis hiervan neem je passende technische en organisatorische maatregelen zodat je bedrijfscontinuïteit waarborgt en netwerk- en IT-systemen beschermd. Denk hierbij aan het opstellen van een IT-security beleid of het periodiek uitvoeren van een security assessment.
Meldplicht – je bent verplicht om incidenten te melden die een impact hebben op de continuïteit van jouw dienstverlening. Incidenten moeten, nadat je ervan op de hoogte bent, binnen 24-uur gemeld worden bij de toezichthouder. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden.
Toezicht – jouw organisatie komt onder toezicht te staan. Dit houdt in dat er actief wordt gekeken of je je houdt aan de verplichtingen in de NIS2-richtlijn, zoals zorg- en meldplicht.

Stel ons je vraag

Voldoen aan de NIS2, zo bereid je jezelf voor

Stap 1: check of de NIS2-richtlijn van toepassing is op jouw organisatie: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Stap 2: stel samen met een professioneel IT-partner een securitybeleid op

Stap 3: breng alle digitale risico’s in kaart voor jouw organisatie. Denk hierbij aan zwakke systemen, processen of software, maar ook de risico’s van jouw toeleveringsketen.

Stap 4: doe een security assessment

Stap 5: doe een phising assessment

Stap 6: zorg dat je IT security actief (laat) monitoren. Bijvoorbeeld door een managed SOC.

Onderneem vroegtijdig actie om te voldoen aan de NIS2

Naar verwachting zal de wetgeving rondom de NIS2-richtlijn eind 2024 in werking treden en zoals je in dit artikel hebt kunnen lezen moet je flink wat werk verzetten om te voldoen aan deze richtlijn. Digitale veiligheid is niet langer een optie, maar een absolute must. Wij raden aan daarom op tijd te starten met de voorbereidingen

Verbeter samen met Jelle jouw cybersecurity

* De CER-richtlijn richt zich op de bescherming van kritieke organisaties tegen fysieke dreigingen, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. Jouw organisatie behoort tot een kritieke entiteit als:

- de entiteit een of meer essentiële diensten verleent

- de entiteit is actief en haar kritieke infrastructuur bevindt zich op het grondgebied van die lidstaat

- een incident zou aanzienlijke verstorende effecten hebben, zoals bepaald overeenkomstig artikel 7, lid 1, op de verlening door de entiteit van een of meer essentiële diensten of op de verlening van andere essentiële diensten in de in de bijlage beschreven sectoren die afhankelijk zijn van die diensten

Bron publicatieblad EU