Wat is NIS2 en wat betekent het voor jouw organisatie?

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Cyberaanvallen kunnen een flinke impact hebben op samenlevingen, aangezien we zowel op zakelijk als persoonlijk vlak sterk afhankelijk zijn van een goed functionerende digitale infrastructuur. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie.

Om de cybersecurity in heel Europa aan te scherpen, heeft het Europees Parlement gestemd voor de goedkeuring van de herziene Netwerk en Informatiesystemen Directive 2022/0383, beter bekend als "NIS2". NIS2 is bedoeld om de uitvoering van het bestaande cybersecurity kader van de EU uit te breiden, te versterken en te harmoniseren. Het vormt een belangrijk onderdeel van de cybersecurity strategie van de EU en sluit aan bij de prioriteit van de Europese Commissie om Europa klaar te maken voor het digitale tijdperk.

Wat is de NIS2 Directive?

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS Directive). Deze NIS1 stelt op het gebied van cybersecurity strenge eisen aan zogenoemde ‘essentiële bedrijven’. Dit zijn bijvoorbeeld water-, energie- en telecombedrijven. De NIS2 is een aanvulling op en uitbreiding van de richtlijn die meer bedrijven aanmerkt als essentieel bedrijf. Het gaat in totaal om zo’n 160.000 organisaties verspreid over heel Europa.

De belangrijkste onderdelen van de NIS2 zijn:

Op grond van het belang voor de economie en de samenleving bestrijkt de nieuwe richtlijn meer sectoren en wordt de wijze waarop bedrijven worden ingedeeld herzien.

  • Gebaseerd op het belang voor de economie en de samenleving, vallen in de nieuwe richtlijn meer sectoren en wordt de wijze waarop bedrijven worden ingedeeld herzien onder de NIS-richtlijn. Middelgrote en grote bedrijven in geselecteerde sectoren worden opgenomen in het voorstel. Tegelijkertijd biedt het de lidstaten enige flexibiliteit om kleinere bedrijven met een hoog risicoprofiel te identificeren.

  • Meer aandacht voor de bestuursorganen van binnen het toepassingsgebied vallende bedrijven, waarbij de lidstaten ervoor moeten zorgen dat die bestuursorganen aansprakelijk kunnen worden gesteld voor inbreuken door de entiteit op bepalingen betreffende die maatregelen.

  • De richtlijn verscherpt de security-eisen voor bedrijven door het opleggen van een aanpak voor risicobeheersing en de belangrijkste cybersecurity maatregelen aan te geven die alle onder de richtlijn vallende organisaties moeten treffen.

  • De NIS2 maakt geen onderscheid meer tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Organisaties worden geclassificeerd op basis van hun belang en onderverdeeld in essentiële en belangrijke categorieën, met als gevolg dat ze aan verschillende toezichtregimes worden onderworpen.

  • De meldplicht voor incidenten zal sterk worden gewijzigd, en de sancties voor niet-naleving zullen worden aangescherpt.

  • Individuele bedrijven moeten securityrisico’s in toeleveringsketens en leveranciersrelaties aanpakken.

  • Er komen strengere toezichtsmaatregelen voor nationale autoriteiten, strengere vereisten voor het handhaven van veiligheidsmaatregelen en een harmonisatie van sanctieregelingen en rapportageverplichtingen in de lidstaten, en de samenwerking en informatie-uitwisseling tussen de lidstaten wordt verbeterd.

Wanneer en op wie is de NIS2 van toepassing?

De NIS2 is van toepassing op elke organisatie die binnen de EU actief is of haar activiteiten verricht en die een essentiële dienst aan consumenten levert (wat betekent dat zij voldoen aan de beschrijving van een "essentiële" of "belangrijke" entiteit in een bepaalde lijst van sectoren). Denk bijvoorbeeld aan internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Opmerkelijke uitzonderingen zijn kleinere bedrijven die als essentieel kunnen worden beschouwd, maar niet voldoen aan een maximumomvang (naar verwachting 10 miljoen euro aan jaarinkomsten en/of minder dan 50 personeelsleden) en andere entiteiten die door de lidstaten uitdrukkelijk worden uitgesloten.

De NIS2 kan organisaties bestempelen als essentieel of als belangrijk - waarvoor dezelfde eisen voor cybersecurity management en meldingsplicht voor incidenten gelden onder de NIS. Het grootste verschil tussen essentiële en belangrijke organisaties? De monitoring van het naleven van de regels. Bij de essentiële aanbieders, voornamelijk partijen uit vitale sectoren, zal het toezicht strikt proactief moeten zijn en duidelijk tot uiting moeten komen in hun processen. Dit betekent dat toezichthouders nagaan of deze organisaties de richtlijn correct toepassen en naleven. Bij de belangrijke aanbieders vindt het toezicht achteraf plaats als er aanwijzingen zijn die duiden op een cyberincident.

De nieuwe wetgeving heeft een groter bereik (meer sectoren en meer organisaties) dan de NIS1-richtlijn en streeft ernaar om de digitale weerbaarheid van de verschillende EU-lidstaten gelijk te trekken en te vergroten. De verwachting is dat de NIS2 in Nederland uiterlijk in september 2024 verankerd zal worden in de wet. “Voor veel mkb’ers zal NIS2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en zul je vaker bezoek krijgen van een toezichthouder”, legt VVD-europarlementariër Bart Groothuis uit.

Placeholder for From NIS to NIS2From NIS to NIS2

Wat is de impact van de nieuwe wetgeving?

Is jouw organisatie aangemerkt als essentieel? En voldoe je niet aan de eisen die de NIS2 stelt? Dan kun je te maken krijgen met boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.

Gedegen voorbereiding

De formele goedkeuring van NIS2 vond plaats op 10 november 2022, maar de formele publicatie van de richtlijn wordt binnenkort verwacht - wat betekent dat de Europese lidstaten binnen 21 maanden na die publicatiedatum moeten beginnen met de implementatie, wat leidt tot een verwachte implementatie op of rond het derde kwartaal van 2024. Dit geeft bedrijven de tijd om zich voor die tijd voor te bereiden.

Gelukkig kun je veel doen om je cybersecurity naar een hoger niveau te tillen. Zorg ervoor dat je de beginselen van security en privacy by design toepast bij het invoeren van nieuwe processen of het herzien van leveranciers - en bereid je op een holistische manier voor op NIS2, waarbij je ook rekening houdt met relevante verplichtingen op grond van andere wetten. Je cybersecurity-beleid en incidentmanagement-procedures van zullen bijvoorbeeld rekening moeten houden met alle relevante vereisten binnen de toepasselijke wetten. Waaronder de GDPR-vereisten voor incidentrapportage en voor passende technische en organisatorische maatregelen, maar ga er niet automatisch van uit dat een GDPR-conform incidentresponsproces voldoende zal zijn voor NIS 2-doeleinden. Vooral in het licht van de strakkere rapportagetermijnen van NIS 2. Herzie je vereisten en incidentrapportage - en overweeg welke veranderingen nodig zijn.

Ook het consequent toepassen van multifactorauthenticatie (MFA), ontwikkelen van een goed raamwerk voor identity and access management (IAM) en het verkleinen van het digitale aanvalsoppervlak helpen bij het verhogen van je digitale veiligheidsniveau.

Zo helpt Nomios

Heb je moeite om te voldoen aan de strenge eisen op het gebied van cybersecurity? En vind je het een uitdaging om jouw organisatie klaar te stomen voor de NIS2? Dan helpt Nomios je graag verder. Wij zijn een erkende specialist op het gebied van cybersecurity en networking en hebben de kennis en oplossingen in huis die jou helpen om te voldoen aan de eisen die de NIS2 stelt.

Hulp bij NIS2

Een greep uit onze diensten en oplossingen

Kom in contact met onze expertsOns team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Meer updates