Wat betekent de nieuwe NIS2 richtlijn voor u?
In 2016 is de NIS-richtlijn ingesteld. NIS staat voor ‘Network and Information Security’ oftewel ‘Netwerk en Informatie Beveiliging’ (NIB). De NIS-richtlijn is ontworpen met als doel de beveiliging van kritieke infrastructuur zoals van banken, energiebedrijven en telecommunicatiebedrijven, te versterken.
16 januari 2023 is de herziene richtlijn (NIS2) in werking getreden. Met deze herziening zullen meer sectoren onder de richtlijn vallen en daardoor aan meer beveiligingseisen moeten voldoen. Daarnaast worden ook het toezicht op naleving en de sancties geharmoniseerd binnen de gehele EU.
Met een grotere reikwijdte en strengere eisen, zal NIS2 de EU beter moeten beschermen tegen cyberaanvallen en andere dreigingen voor de digitale veiligheid.
EU-lidstaten hebben vanaf de inwerkingtreding van de NIS2-richtlijn 21 maanden de tijd om de richtlijn in hun nationale wetgeving om te zetten en de nodige infrastructuur op te zetten om de richtlijn te kunnen handhaven. Vanaf september 2024 zal de NIS2-wetgeving in Nederland van kracht worden en zullen organisaties moeten voldoen aan de eisen. Het is dus zaak voor organisaties die onder de NIS2-richtlijn vallen om zich nu al voor te bereiden op de veranderingen die de richtlijn met zich meebrengt.
Hieronder lichten we nader toe welke organisaties onder de NIS2-richtlijn vallen en wat deze organisaties moeten doen om aan de richtlijn te voldoen.
Welke organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op zeer kritieke en kritieke sectoren binnen de EU. Hier vallen onder andere bedrijven onder in de financiële sector, de energie- en transportsector, digitale dienstverleners zoals cloud-computing, online marktplaatsen, online zoekmachines en sociale netwerken.
Van de organisaties die onder de NIS2-richtlijn vallen wordt onderscheid gemaakt tussen essentiële en belangrijke organisaties. Dit verschil leidt tot een andere uitwerking van de NIS2. Hieronder wordt het verschil toegelicht.
Essentiële entiteiten
Alleen grote organisaties1 die onder zeer kritieke sectoren vallen, worden beschouwd als ‘essentieel’. Daarnaast worden sommige organisaties automatisch als ‘essentieel’ beschouwd, ongeacht hun grootte, als een storing in hun dienstverlening ernstige gevolgen zou hebben voor de samenleving of als ze de enige aanbieder op de markt zijn.
Dit geldt ook voor organisaties die openbare communicatienetwerken en -diensten leveren, dienstverleners van vertrouwensfuncties en dienstverleners voor topleveldomeinnamen en domeinnaamregistratie.
Belangrijke entiteiten
Naast essentiële organisaties wordt in de NIS2-richtlijn ook gesproken over belangrijke organisaties. Middelgrote organisaties2 die actief zijn in zeer kritieke sectoren worden beschouwd als belangrijk, samen met grote en middelgrote organisaties in kritieke sectoren.
De meeste organisaties die onder de NIS2-richtlijn vallen komen terecht in de categorie belangrijk. Bij belangrijke organisaties vindt het toezicht achteraf plaats, als er melding gedaan is en er sprake is van een incident. Mocht na een incident blijken dat de organisatie niet de vereiste stappen op gebied van beveiligingsvereisten heeft genomen, dan zullen ook deze organisaties te maken krijgen met boetes vanwege het niet naleven van de wetgeving.
1 Grote organisaties: meer dan 250 medewerkers en een jaaromzet van minimaal 50 miljoen euro.
2 Middelgrote organisaties: minder dan 250 medewerkers en een jaaromzet van maximaal 50 miljoen euro.
NIS2 - Essentiële en belangrijke entiteiten per sector
Wat zijn de gevolgen van de NIS2-richtlijn?
Organisaties die onder de NIS2-richtlijn vallen moeten zich houden aan strikte beveiligingsvereisten en incidenten melden bij de nationale bevoegde autoriteit binnen 24 uur na constatering. Bovendien moeten organisaties snel handelen om de situatie te beheersen en de impact te beperken in geval van een cyberaanval of ander veiligheidsincident. Niet-naleving kan leiden tot boetes en eventuele schorsingen op bestuursniveau.
Wat moeten organisaties doen om aan de NIS2-richtlijn te voldoen?
Organisaties die onder de NIS2-richtlijn vallen moeten de nodige maatregelen nemen om hun digitale beveiliging te verbeteren en incidenten te melden bij de nationale autoriteiten.
De onderstaande maatregelen vertegenwoordigen de minimumvereisten waaraan moet worden voldaan:
- Beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- Een proces voor incidentenbehandeling;
- Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen en crisisbeheer;
- Beveiliging van de toeleveringsketen, met inbegrip van beveiliging-gerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- De basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging (zie de NCSC basismaatregelen in de infographic hieronder);
- Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
DataExpert
Mocht u vragen hebben rondom NIS2 en de actuele stand van bovenstaande maatregelen binnen uw organisatie, neem dan vrijblijvend contact met ons op. Wij helpen u graag met het in kaart brengen van de actuele invulling en de totstandkoming van de vereiste invulling van deze maatregelen.