NIS2-Richtlijn: Bereid jouw organisatie voor!
Samenwerken aan een sterkere digitale toekomst.
De digitale wereld ondergaat razendsnelle veranderingen, en daarmee staat de veiligheid van organisaties meer dan ooit in de schijnwerpers. Met de NIS2-richtlijn zet de Europese Unie een cruciale stap in het verhogen van zowel de digitale als economische weerbaarheid tegen cybercrime. Het is belangrijk om te beseffen dat deze nieuwe richtlijn aanzienlijke impact zal hebben. De deadline voor implementatie in Nederland is oktober 2024, wanneer de richtlijn in de bestaande Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni) verankerd moet zijn.
Versterkte handhaving en sancties
De NIS2-richtlijn verscherpt de eisen voor de handhaving van cybersecurityregels. Dit betekent dat de autoriteiten strenger gaan toezien op naleving, en dat sancties van kracht worden die in de hele EU gelden. Het is belangrijk dat je als organisatie deze regels serieus neemt, omdat niet-naleving kan leiden tot financiële sancties. Deze boetes worden berekend op basis van de wereldwijde omzet van een onderneming.
Uitbreiding van het toepassingsgebied
De NIS2-richtlijn breidt het toepassingsgebied uit naar nieuwe sectoren. Dit betekent dat meer bedrijven en organisaties onder de richtlijn vallen. Het gaat daarbij niet alleen om traditionele sectoren, maar ook opkomende industrieën en dienstverleners. Concreet houdt dit in dat organisaties in diverse branches moeten voldoen aan de nieuwe eisen op het gebied van cyberrisicobeheer, penetratietesten, incident response en herstel.
Het is van groot belang om proactief stappen te ondernemen om jouw organisatie voor te bereiden op de NIS2-richtlijn. Zodat je kunt voldoen aan de nieuwe eisen en mogelijke sancties kunt vermijden. Het invoeren van robuuste cybersecuritymaatregelen en het opstellen van een gedegen incident response-plan zijn enkele van de stappen die je nu al kunt ondernemen. Zo zorg je ervoor dat jouw bedrijf voldoet aan de NIS2.
Wat is de NIS2-richtlijn?
De Network and Information Security Directive 2 (NIS2-richtlijn) is een wettelijk instrument, opgesteld door de Europese Unie om de cyberbeveiliging en digitale weerbaarheid van de EU-lidstaten te versterken. Deze richtlijn is een reactie op de toenemende dreiging van cyberaanvallen, de voortdurende ontwikkeling van digitale technologieën en de groeiende afhankelijkheid van informatiesystemen en netwerken in onze samenleving.
Wat is het doel van de NIS2-richtlijn?
De NIS2-richtlijn streeft de volgende belangrijke doelen na:
- Versterking van de cyberbeveiliging en digitale weerbaarheid binnen de Europese Unie.
- Verbetering van de bescherming van essentiële diensten en digitale infrastructuur.
- Harmonisatie (gelijk trekken) van de cybersecurity-regelgeving binnen de EU-lidstaten.
- Vaststelling van strengere beveiligingsnormen en meldingsvereisten voor cyberincidenten.
- Uitbreiding van de reikwijdte van de richtlijn naar nieuwe sectoren.
Op wie is NIS2 van toepassing?
Een van de belangrijkste punten in de NIS2-richtlijn is de uitbreiding van de sectoren die eronder vallen. De richtlijn richt zich op twee hoofdcategorieën van sectoren, namelijk categorie 1 en categorie 2. Hieronder vind je een overzicht van de sectoren binnen de categorieën:
Categorie 1 (Essentiële sectoren):
- Energie: bedrijven in de levering, distributie, transmissie en verkoop van verschillende vormen van energie, waaronder elektriciteit, gas, olie, verwarming/koeling, waterstof. En de exploitanten van oplaadpunten voor elektrische voertuigen.
- Transport: bedrijven in transport over land, water en door de lucht. Zoals spoorvervoer, wegvervoer, scheepvaart en luchtvaart. Hieronder vallen ook rederijen en havenfaciliteiten.
- Bankwezen en financiën: bedrijven die opereren in financiële diensten zoals kredietverlening, handel, marktactiviteiten en financiële infrastructuur en erg belangrijk zijn voor de werking van financiële markten.
- Gezondheidszorg: hieronder vallen zorgverleners, onderzoekslaboratoria, farmaceutische bedrijven en fabrikanten van medische hulpmiddelen. Allemaal van vitaal belang voor de gezondheid en het welzijn van de samenleving.
- Water: hierbij gaat het om zowel drinkwaterleveranciers als beheerders van afvalwater. Zij zijn verantwoordelijk voor het waarborgen van een veilige watervoorziening en het milieuvriendelijk beheer van afvalwater.
- Digitale infrastructuur en IT-diensten: hieronder vallen domeinnaamsystemen (DNS), naamregisters, vertrouwensdiensten, datacenters, cloud computing-aanbieders, elektronische communicatiediensten, beheerde dienstverleners en beheerde beveiligingsdienstverleners. Deze organisaties vormen de digitale ruggengraat die essentieel is voor moderne communicatie en gegevensverwerking.
- Openbaar bestuur: hierbij gaat het om overheidsdiensten op zowel centraal, regionaal als lokaal niveau.
- Ruimtevaart: hieronder vallen beheerders van grondinfrastructuur die betrokken zijn bij ruimtevaartactiviteiten. Dit is steeds belangrijker geworden in de moderne samenleving.
Categorie 2 (Belangrijke sectoren):
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Productie en distributie van chemische stoffen
- Voedselproductie en -distributie
- Fabrikanten van medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers en andere transportmiddelen
- Digitale aanbieders zoals online marktplaatsen, zoekmachines en sociale platforms
- Onderzoeksorganisaties
Criteria voor betrokkenheid
Organisaties vallen onder de NIS2-richtlijn op basis van specifieke criteria die hen als ‘essentieel’ of ‘belangrijk’ aanmerken. Hier zijn de belangrijkste criteria:
Essentiële organisaties:
- Organisaties die zijn aangewezen als kritieke entiteit volgens de CER-richtlijn.
- Grote organisaties uit categorie 1 van de NIS2-richtlijn, met de volgende criteria: > 500 werknemers en een jaaromzet van > €50 miljoen of een balanstotaal van > €43 miljoen.
- Middelgrote organisaties uit categorie 1 van de NIS2-richtlijn, met de volgende criteria: > 50 werknemers en een jaaromzet van > €10 miljoen of een balanstotaal van > €10 miljoen.
Belangrijke organisaties:
- Organisaties uit categorie 2 van de NIS2-richtlijn, ongeacht hun omvang.
- Organisaties die diensten aanbieden in de digitale sfeer, zoals online marktplaatsen, zoekmachines en sociale platforms, ongeacht hun omvang.
Deze criteria zijn voor organisaties belangrijk om vast te stellen of ze onder de NIS2-richtlijn vallen en welke verplichtingen voor hen gelden.
Wat zijn de belangrijkste onderwerpen van de NIS2-richtlijn?
1. Beveiligingsmaatregelen en risicobeoordeling
Onder de NIS2-richtlijn zijn organisaties verplicht een aantal zaken voor wat betreft cybersecurity na te leven. Zo moeten zij risicobeoordelingen uitvoeren van om mogelijke bedreigingen en kwetsbaarheden te herkennen. Ook moeten bedrijven passende beveiligingsmaatregelen invoeren om de informatiesystemen en netwerken te beschermen. De NIS2-richtlijn beschrijft geen specifieke technische maatregelen, maar vereist dat organisaties algemene beveiligingsdoelen en principes volgen.
2. Incidentdetectie en -melding
Een van de meest cruciale vereisten van de NIS2-richtlijn is het instellen van procedures voor de detectie van cyberincidenten en het melden van dergelijke incidenten aan de bevoegde nationale autoriteiten. Zij moeten incidenten binnen 24 uur na ontdekking melden, tenzij ze kunnen aantonen dat het incident geen gevolgen heeft voor de continuïteit van de dienstverlening.
3. Toezicht en samenwerking
De NIS2-richtlijn voorziet in toezicht op organisaties die onder de richtlijn vallen. Welk type toezicht hangt af van of een organisatie in de categorie essentieel of belangrijk valt. Bovendien moeten ondernemingen samenwerken met de nationale autoriteiten en andere betrokken partijen, zoals Computer Security Incident Response Teams (CSIRTs). Dit alles om de cyberbeveiliging te verbeteren en incidenten effectief aan te pakken.
Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie?
Implementatie in nationale wetgeving
De NIS2-richtlijn moet worden geïmplementeerd in de nationale wetgeving van de diverse EU-lidstaten. Dit betekent dat de exacte wetgeving en richtlijnen die van toepassing zijn op organisaties van land tot land kunnen verschillen. Een organisatie moet dus de wetgeving van hun eigen land raadplegen en volgen om aan de vereisten van de NIS2-richtlijn te voldoen.
Sancties en boetes
Voldoe je als organisatie niet aan de NIS2-richtlijn? De NIS2 kan in dat geval sancties opleggen. De hoogte van de boetes zijn afhankelijk van de ernst van de inbreuk en de omvang van de organisatie. Het is belangrijk om je bewust te zijn van deze sancties. Zorg er dus voor dat je als onderneming aan de verplichtingen van de richtlijn voldoet. Zo voorkom je mogelijke boetes.
Wacht niet af, maar ga nu al aan de slag
Risicoanalyse en beveiligingsmaatregelen
Bedrijven moeten zich voorbereiden op de NIS2-richtlijn. Dat doe je door risicoanalyses uit te voeren en passende beveiligingsmaatregelen in te voeren. Concreet betekent dit dat je bedreigingen en kwetsbaarheden moet herkennen, de mogelijke impact moet beoordelen en een beveiligingsstrategie voor de informatiesystemen en netwerken moet ontwikkelen of verbeteren.
Incident-responsplan
Een gedetailleerd incident-responsplan is een vereiste om te voldoen aan de incidentdetectie en -melding onder de NIS2-richtlijn. In dit plan beschrijf je hoe de organisatie omgaat met verschillende soorten cyberincidenten, hoe ze deze meldt en welke maatregelen het bedrijf neemt om de impact te minimaliseren.
Samenwerking met nationale autoriteiten
Organisaties moeten actief samenwerken met de nationale autoriteiten en CSIRTs om de cyberbeveiliging te verbeteren. Het gaat dan om het delen van informatie over incidenten, deelname aan oefeningen en bijdragen aan de ontwikkeling van beveiligingsrichtlijnen voor de sector.
Hoe kan IDB4ict helpen?
Ons streven is om jouw organisatie te helpen bij het voldoen aan de eisen van de NIS2-richtlijn en het versterken van jouw cybersecurity. We bieden een breed scala aan diensten en oplossingen om jou te ondersteunen tijdens jouw reis naar een verbeterde cyberbeveiliging. Hier zijn enkele manieren waarop IDB4ict jou kan helpen:
- Risicoanalyse en beveiligingsbeoordeling: We voeren uitgebreide risicoanalyses uit om de kwetsbaarheden in jouw informatiesystemen en netwerken te identificeren en we doen aanbevelingen voor passende beveiligingsmaatregelen.
- Incidentresponsplanning: We helpen jou bij het opstellen van gedetailleerde incidentresponsplannen, zodat je goed voorbereid bent om cyberincidenten effectief aan te pakken en te melden.
- Compliance-ondersteuning: We begeleiden jou bij het begrijpen en naleven van de NIS2-richtlijn en andere relevante wet- en regelgeving op het gebied van cybersecurity.
- Training en bewustwording: We bieden trainingen en workshops om jouw medewerkers bewust te maken van de risico’s en best practices op het gebied van cybersecurity.
De NIS2-richtlijn is een belangrijke stap richting verbeterde cyberbeveiliging en digitale weerbaarheid binnen de Europese Unie. Met een breder toepassingsgebied en strengere verplichtingen vormt deze richtlijn een uitdaging en een kans voor organisaties om hun cyberbeveiliging te versterken en zich voor te bereiden op de steeds veranderende dreigingen op het gebied van cybersecurity. Het is van vitaal belang voor jouw organisatie om de wetgeving van jouw specifieke EU-lidstaat te volgen. En proactieve maatregelen te nemen om aan de vereisten van de NIS2-richtlijn te voldoen en de digitale veiligheid te waarborgen. IDB4ict staat klaar om jou hierbij te ondersteunen. Aarzel niet om contact met ons op te nemen, voor meer informatie en advies over hoe je je kunt voorbereiden op de NIS2-richtlijn en jouw cybersecurity kunt versterken.
Bekijk ons on-demand webinar over de NIS2-richtlijn, de belangrijke stap van de EU tegen cybercrime. Leer hoe jouw organisatie zich op tijd kan voorbereiden op een veiligere digitale toekomst. De NIS2 moet voor oktober 2024 in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn verankerd.
Nico Boom
Security Officer | Microsoft consultant
Experts delen hun insights over een bepaald onderwerp
Relevante artikelen
Hieronder vind je een selectie uit diverse achtergrondartikelen die er over diverse onderwerpen zijn geschreven.
