Wat is de NIS2 richtlijn?

NIS2, kort voor Network and Information Systems 2, is als een upgrade voor cybersecurity in de EU. Deze richtlijn brengt strengere regels voor cyberveiligheid, vooral voor bedrijven in vitale sectoren zoals energie, transport en gezondheidszorg. Het idee? Maak Europa digitaal sterker en veiliger. Denk aan hogere beveiligingsstandaarden en snelle melding van cyberincidenten. In een wereld waar cyberaanvallen steeds geavanceerder worden, legt de NIS2 richtlijn de lat hoog voor Europese organisaties, verplichtend tot het implementeren van strikte veiligheidsnormen. De NIS2 treedt 17 oktober 2024 in werking. 

Alle middelgrote en grote bedrijven in geselecteerde sectoren (essentieel en belangrijk) zullen onder de wetgeving vallen en moeten voldoen aan dezelfde minimale eisen van NIS2, maar essentiële entiteiten staan onder voortdurend toezicht, terwijl belangrijke entiteiten onderhevig zijn aan ex-post toezicht, wat betekent dat er actie wordt ondernomen als er bewijs is van niet-naleving.

Bedrijven die opereren in een van de bovengenoemde essentiele sectoren, moeten voldoen aan de NIS2, ongeacht hun grootte. Bedrijven met meer dan 250 FTE of meer dan 50 miljoen omzet uit een van de bovengenoemde sectoren worden sowieso aangemerkt als essentieel. Valt een bedrijf binnen een 'belangrijke' sector en heeft het minimaal 50 FTE (tot 250 FTE) of een jaaromzet en balanstotaal van meer dan 10 miljoen euro, wordt het aangemerkt als belangrijk. Bovendien moeten volgende bedrijven sowieso voldoen aan de verplichtingen voor essentiële sectoren (ongeacht omvang):

• aanbieders van openbare elektronische-communicatienetwerken/-diensten
• entiteiten die op nationaal niveau als kritiek zijn aangemerkt uit hoofde van de groepsvrijstellingsrichtlijn 
• overheidsdiensten (centraal niveau)
• gekwalificeerde aanbieders van vertrouwensdiensten en topniveau-domeinnaamregisters en DNS-dienstverleners

Verplichtingen onder de NIS2-richtlijn

Er zijn 4 hoofd verplichtingen onder de NIS2: 

• Zorgplicht: de verplichting om zelf een risicobeoordeling uit te voeren, op basis waarvan passende maatregelen genomen kunnen worden om de diensten zoveel mogelijk te waarborgen en de netwerk- en informatiesystemen te beschermen.
• Meldplicht: Incidenten die de kernactiviteiten aanzienlijk beïnvloeden, dienen binnen 24 uur gemeld te worden aan de toezichthouder en, voor cyberincidenten, aan het CSIRT voor ondersteuning. De ernst wordt bepaald door factoren zoals het aantal getroffen personen, de duur van de verstoring, en financiële schade.
• Registratieplicht: Entiteiten onder de NIS2 moeten zich registreren om een overzicht te bieden van alle entiteiten die onder deze richtlijn vallen op Europees niveau.
• Toezicht: Organisaties onder de richtlijn worden onderworpen aan toezicht voor compliance met de richtlijn, inclusief zorg- en meldplicht. De specifieke toezichthoudende sectoren worden nog nader bepaald.

De NIS2-richtlijn vraagt organisaties om proactief hun cybersecurity aan te pakken. Voor de zorgplicht betekent dit niet alleen het installeren van de nieuwste beveiligingstechnologieën, maar ook het regelmatig updaten en testen van deze systemen. Ook moeten werknemers worden opgeleid in cyberveiligheid, zodat zij potentiële dreigingen kunnen herkennen en correct kunnen handelen. De meldplicht zorgt ervoor dat relevante autoriteiten snel kunnen reageren op incidenten, wat helpt bij het voorkomen van verdere schade. Door middel van registratieplicht krijgen toezichthouders een beter overzicht van de beveiligingsmaatregelen die bedrijven hebben genomen, wat bijdraagt aan een algehele verbetering van de digitale veiligheid binnen de EU. Deze verplichtingen vormen samen een robuust framework om de cyberweerbaarheid van organisaties te versterken.

Implementatie en toezicht

Bij de uitrol van NIS2 zijn EU-landen, waaronder Nederland, druk bezig hun wetten in lijn te brengen met de nieuwe regels, en dat binnen strakke deadlines. Onze eigen toezichthouders, samen met die in Europa, hebben hierin een sleutelrol. Zij checken of bedrijven zich aan de NIS2 houden en treden op als dat niet zo is. Dit alles zorgt ervoor dat onze digitale wereld een stukje veiliger wordt, met een sterke cyberveiligheid in de hele EU.

Naast het aanpassen van nationale wetten, zetten EU-landen zich in om te zorgen voor duidelijke communicatie en richtlijnen over NIS2. Dit helpt organisaties om de veranderingen beter te begrijpen en zich voor te bereiden. Ook worden er tools en hulpmiddelen ontwikkeld om bedrijven te ondersteunen bij hun compliance-traject. Het uiteindelijke doel is om een stevig en uniform beveiligingsnetwerk binnen de EU op te bouwen, waardoor zowel grote als kleine bedrijven beter beschermd zijn tegen cyberdreigingen en -incidenten. Dit alles draagt bij aan een krachtigere en meer samenhangende digitale toekomst voor iedereen in de EU.

Voorbereiding op NIS2

Klaarmaken voor NIS2 hoeft niet ingewikkeld te zijn! Begin met het checken van uw huidige cyberbeveiliging en kijk waar u kunt verbeteren. Zorg dat uw tech op orde is en train uw team in cyberveiligheid. Belangrijk: maak een plan voor hoe uw organisatie snel cyberproblemen aanpakt en meldt. Samenwerking tussen IT- en juridische teams is ook cruciaal. Voor extra hulp en info kunt u altijd terecht bij het Nationaal Cyber Security Centrum.

Naast de basisstappen, is het ook slim om een cybersecurity expert of consultant in te schakelen voor een grondige beoordeling. Zij kunnen helpen bij het fijn afstemmen van uw beveiligingsstrategie. Vergeet ook niet om een duidelijk communicatieplan op te zetten, zodat iedereen in uw organisatie weet wat te doen bij een cyberincident. Het is belangrijk om regelmatig beveiligingsmaatregelen te controleren, herzien en up-to-date te houden. Door deze proactieve benadering te nemen, bent u goed voorbereid op de NIS2-richtlijn en zorgt u voor een veiligere digitale omgeving voor uw organisatie.