De NIS2-richtlijn
Hoe organisaties zich kunnen voorbereiden
NIS2 is een EU-richtlijn die cyberbeveiliging binnen de EU-lidstaten versterkt. Organisaties die onder deze richtlijn vallen, krijgen te maken met nieuwe eisen. Hoewel de vertaling naar nationale wetgeving nog in ontwikkeling is, is het essentieel om nu al de eerste stappen te zetten. Dit doe je in samenhang met andere Europese digitale wetgeving.
Ontdek cyberbeveiliging
Lees meer over Cyber Strategie
Wat is NIS2?
NIS2 versterkt de cyberbeveiliging binnen de EU en geldt sinds januari 2023. Lidstaten moeten de richtlijn uiterlijk in oktober 2024 omzetten in nationale wetgeving. De richtlijn stelt hogere eisen aan risicobeheer en rapportage. In vergelijking met de eerdere NIS-richtlijn geldt NIS2 voor meer organisaties en introduceert het strengere maatregelen, zoals uitgebreidere risicobeheervereisten en strengere meldplichten bij incidenten. Bestuurders spelen een actieve rol in cybersecurity en kunnen persoonlijk aansprakelijk worden gesteld. Overtredingen kunnen leiden tot boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Voor wie geldt NIS2?
NIS2 is van toepassing op organisaties in de volgende sectoren:
- Categorie 1: energie, vervoer, bankwezen, financiële markt infrastructuren, gezondheid, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheidsadministratie, ruimte.
- Categorie 2: post- en koeriersdiensten, afvalverwerking, fabricage, productie en distributie van chemische stoffen, productie, verwerking en distributie van voedsel, productie, digitale aanbieders en onderzoek.
De richtlijn geldt voor organisaties met minimaal 50 werknemers en/of een jaaromzet van 10 miljoen euro. Daarnaast zijn er enkele specifieke gevallen waarin de grootte van de organisatie niet relevant is.
Organisaties die onder de NIS2-richtlijn vallen, krijgen op zijn minst het label 'belangrijke entiteiten'. Organisaties in categorie 1 die minimaal 250 werknemers, een jaaromzet hebben van 50 miljoen euro en/of een jaarlijks balanstotaal van 43 miljoen euro, zijn 'essentiële entiteiten'. Zij krijgen te maken met strenger toezicht en handhaving dan belangrijke entiteiten.
Belangrijke thema’s binnen NIS2
Organisaties die onder NIS2 vallen, moeten voldoen aan strikte eisen op het gebied van risicobeheer en rapportage. Hoewel de nationale wetgeving nog niet definitief is, adviseren we aandacht voor deze kernpunten:
Kernthema 1: risico-eigendom
Bestuurders moeten cybersecuritymaatregelen goedkeuren en toezien op naleving. Essentiële entiteiten kunnen bestuurders persoonlijk aansprakelijk stellen bij tekortkomingen. Ook moeten bestuurders verplichte trainingen volgen om hun kennis actueel te houden.
Kernthema 2: cybersecurity-eisen
Artikel 21 van de NIS2-richtlijn verplicht maatregelen om netwerken en informatiesystemen te beschermen. Denk aan incidentafhandeling, bedrijfscontinuïteit, crisisbeheer en basismaatregelen voor cyberhygiëne, zoals encryptie en beveiligingsbeleid.
Kernthema 3: beveiliging van de toeleveringsketen
Organisaties moeten ook de cybersecurity van hun leveranciers en dienstverleners controleren. Dit betekent het identificeren van kwetsbaarheden bij externe partijen en het waarborgen van veilige ontwikkelingsprocedures en productkwaliteit.
Kernthema 4: incidentrapportage
Significante incidenten moeten binnen 24 uur worden gemeld aan het Computer Security Information Response Team (CSIRT) of de bevoegde autoriteit. Binnen 72 uur volgt een officiële melding. Ook klanten moeten worden geïnformeerd als hun dienstverlening wordt geraakt. Een incident is significant als het leidt tot ernstige operationele verstoringen, financieel verlies of andere materiële of immateriële schade.
Toezicht & handhaving
Essentiële entiteiten kunnen inspecties, off-site toezicht en beveiligingsscans verwachten. Voor belangrijke entiteiten geldt toezicht alleen bij vermoedelijke overtredingen.
Handhaving kan bestaan uit waarschuwingen, bindende instructies en boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld. Daarnaast kan een algemeen directeur van een essentiële entiteit tijdelijk worden verboden om een leidinggevende functie uit te oefenen.
Hoe bereid je je voor?
Valt jouw organisatie onder NIS2? Start dan nu met de voorbereidingen. Veel vereisten kosten tijd om te implementeren.
Let op andere EU-regels zoals de CER-richtlijn, de Cyber Resilience Act (CRA), de AI-verordening en de Digital Operational Resilience Act (DORA). AVG-rapportage kan bijvoorbeeld dienen als basis voor NIS2-rapportages. Door regelgeving slim te combineren, voorkom je dubbel werk.
We helpen je om NIS2 praktisch en efficiënt aan te pakken. We bouwen voort op wat er al is en houden rekening met andere EU-regels. Ook al is de Nederlandse wet nog niet af, we kunnen je nu al helpen met de eerste stappen.
Wij bieden onder andere:
- Health check: Snel inzicht in de belangrijkste aandachtspunten voor NIS2.
- Gereedheidsbeoordeling: Routekaart en vervolgstappen voor jouw organisatie.
- Beveiligingsmaatregelen: Denk aan incidentrespons, risicobeheer door derden en trainingen.
Meer weten? Neem contact met ons op.
