JavaScript is not enabled in your browser.
Terug naar overzicht

Blog

Wat is de impact van NIS2?

09-11-2023

newsItem.foto.alt
De Europese opvolger van de NIS1-richtlijn is in de maak en dient als basis voor nationale cybersecurity wetgeving. Deze NIS2 heeft potentieel grote gevolgen, ook voor Nederlandse bedrijven en organisaties. De reikwijdte wordt groter dan de huidige NIS1, omdat de richtlijn voor meerdere sectoren geldt. Tegelijk stelt de richtlijn strengere beveilingsnormen en meldingsvereisten voor incidenten. De NIS2 wordt vertaald naar Nederlandse wetgeving en gaat op 17 oktober 2024 van kracht. 

Wat is de NIS2?

Onze samenleving wordt steeds digitaler, maar helaas zorgt dit ook voor nieuwe gevaren zoals cyberbedreigingen. Hierdoor is er meer behoefte aan samenwerking en harmonisatie binnen Europa, maar ook aan een hoger niveau van cyber security bij bedrijven. Dit is de aanleiding van de NIS2. NIS2 staat voor Network and Information Security directive van de EU en bevat nieuwe richtlijnen die op 17 oktober 2024 van kracht worden. De wet is een vervolg op NIS1 en stelt strengere beveilingsnormen en meldingsvereisten voor incidenten voor. 


Wie krijgt te maken met NIS2?

De NIS2 geldt voor de sectoren die al onder de eerste NIS-richtlijn vallen en voor een aantal nieuwe sectoren en er komen meer publieke en private organisaties bij. 

Sectoren uit bijlage 1. Sectoren uit bijlage 2.
Energie Digitale aanbieders
Transport Post- en koeriersdiensten
Bankwezen Afvalstoffenbeheer
Infrastructuur financiële markt Levensmiddelen
Gezondheidszorg Chemische stoffen
Drinkwater Onderzoek
Digitale infrastructuur Vervaardiging / manufacturing
Beheerders van ICT-diensten
Afvalwater
Overheidsdiensten
Ruimtevaart


Welke criteria bepalen of een organisatie onder de NIS2-richtlijn valt?


Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
 
Essentiële entiteiten
  • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.
  • Grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie tabel)
  • Een organisatie is groot op basis van de volgende criteria:
1. minimaal 250 werknemers of;
2. een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
 
Belangrijke entiteiten
  • Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2.
  • Een organisatie is middelgroot op basis van de volgende criteria:

1. minimaal 50 werknemers of;
2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Organisaties die als kritieke entiteit zijn aangewezen volgens de CER-richtlijn, vallen automatisch onder de essentiele entiteiten. Grote organisaties actief in een sector uit bijlage 1 van de NIS2-richtlijn worden ook beschouwd als essentiele entiteiten. Dat geldt niet voor middelgrote organisaties actief in een sector uit bijlage 1 en middelgrote en grote organisaties actief in een sector uit bijlage 2: zij worden als belangrijke entiteiten beschouwd.

Geldt de NIS2 ook voor jou? Bekijk het stroomschema in pdf formaat


Meer impact, meer toezicht

De NIS2-richtlijn bepaalt dus aan de hand van de grootte en sector of sectoren
automatisch onder de richtlijn vallen. Aangenomen wordt dat als diensten van essentiële entiteiten uitvallen (bijvoorbeeld door een cyberaanval), dat meer impact op de economie en samenleving heeft dan bij belangrijke entiteiten. Essentiële entiteiten vallen dan ook onder een intensiever toezicht dan belangrijke entiteiten.

Kleine bedrijven vallen meestal niet onder de NIS2-richtlijn, echter wel als ze een belangrijke rol spelen in de internetinfrastructuur en bij overheidsinstanties. 

Doe de check!

Wil je checken of je bedrijf of organisatie onder de NIS2-richtlijn valt? Vul dan de vragenlijst in van de Rijksinspectie Digitale Infrastructuur (RDI), waarbij wordt bepaald of je bedrijf als 'essentieel' of 'belangrijk' wordt beschouwd voor het functioneren van de maatschappij en/of de economie.

Wat zijn de verplichtingen van de NIS2?


Zorgplicht
De richtlijn vereist dat organisaties zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten te waarborgen en informatie te beschermen.

Meldplicht
Nieuw aan de NIS2 is de meldplicht. De richtlijn vereist dat organisaties incidenten die de essentiële dienstverlening sterk kunnen verstoren, binnen 24 uur bij de toezichthouder melden. Cyberincidenten moeten ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Meldingswaardige factoren zijn bijvoorbeeld het aantal getroffen personen, de duur en de mogelijke financiële verliezen van de verstoring. Het CSIRT kan hulp en bijstand bieden.

Toezicht
Organisaties die onder de richtlijn vallen, worden gecontroleerd om te zien of ze zich aan de regels houden. Er komt een onafhankelijke toezichthouder die kijkt of organisaties de verplichtingen uit de richtlijn naleven, zoals de zorg- en meldplicht. Momenteel wordt bekeken onder welke toezichthouder de sector Overheid komt te vallen (dit is nog niet bekend) en wat het toezicht inhoudt. Er wordt gebruik gemaakt van bestaande verantwoordingsstructuren en gestreefd naar harmonisering hiervan. Bevindingen uit onderzoeken in opdracht van het ministerie van BZK in 2019 en 2022 worden hierin meegenomen.

Status


In het eerste kwartaal van 2024 start een consultatieperiode waarin burgers, bedrijven en overheidsinstellingen mee kunnen denken over de wet- en regelgeving die in voorbereiding is. In Nederland zal de NIS2 waarschijnlijk de Wet Digitale Veiligheid gaan heten.

Wat kun je nu al doen? 


Begin vroeg en wees pro-actief.
• Bewustwording en begrip binnen je organisatie is nu al urgent.
NIS2 vertelt wat je moet doen, niet hoe je het moet doen.
• Er wordt een risico-gebaseerde aanpak verwacht in lijn met de ISO/IEC 27001.
Overweeg een gap-analyse.
• Het identificeren van hiaten om een plan van aanpak op te stellen.
Implementeren en onderhouden van een managementsysteem voor informatiebeveiliging en cybersecurity.
• Bestrijkt een breed scala aan NIS2-vereisten.
• Helpt risico’s te duiden, analyseren en te verminderen.
• Helpt een bedrijfs-brede bewustwording van het onderwerp.
• ISO/IEC 27001 certificaat levert het bewijs dat er maatregelen zijn genomen om te voldoen aan de NIS2-vereisten en toon betrokkenheid bij toezichthouders, leveranciers en klanten.
• Stimuleert continue verbetering van cybersecurity bedrijfsvoering.
Streef naar ‘Cyber Smart Cultuur’.
• Trainings-en bewustwordingsprogramma’s voor personeel en (senior) management.
Analyseer je toeleveringsketen.
• Het managen van risico’s en afhankelijkheden bij kritieke (sub)leveranciers.

En gebruik cyberhygiëne:

-Gebruik een virusscanner;
-Gebruik anti-virussoftware;
Denk verder aan: 
-Het frequent wijzigen van sterke wachtwoorden;
-Het up-to-date houden van apps, software en besturingssystemen;
-Het wissen van datadragers van afgeschreven apparatuur;
-Gebruik geen openbare netwerken;
-VPN gebruiken;
-Clean desk policy;
-Fysieke beveiliging.


Meer weten? Neem contact op met onze cyberexperts via contact@perfectday.nl.

Copyright © Perfect Day | Privacyverklaring | Voorwaarden voor dienstverlening | Cookiebeleid

Perfect Day is een initiatief van

Onze website gebruikt cookies om de gebruikerservaring te verbeteren. Meer informatie