Eind 2024 zet Nederland een tandje bij als het om cyberveiligheid gaat. Op 17 oktober moet de Europese NIS2 richtlijn omgezet zijn in wetgeving. Op dat moment moeten veel meer bedrijven en organisaties voldoen aan strenge beveiligingswetgeving. Valt jouw organisatie daaronder, dan is het hoog tijd om actie te nemen. Ben je nog niet begonnen, twijfel je of je wel aan NIS2 moet voldoen of ben je nog helemaal niet bij met NIS2? Geen paniek! Wij helpen je op weg met deze FAQ.
Wat is de NIS2?
Digitale dreigingen nemen toe, veroorzaken steeds grotere financiële schade en kunnen zelfs hele bedrijfssectoren ontwrichten. Om die trend een halt toe te roepen, besloot de EU in 2016 afspraken over computerbeveiliging te maken. De NIS-richtlijn die daaruit voortvloeide heeft geholpen, maar is aan een update toe. Daarom is binnen de EU in 2023 de NIS2 ingegaan. Deze wetgeving is uitgebreider en omvat meer bedrijven en organisaties. In ‘Nieuwe cyber security wetgeving: NIS2 - Dit betekent het voor jouw organisatie’ vind je een uitgebreidere samenvatting.
Valt mijn organisatie onder de NIS2?
NIS2 breidt het aantal sectoren dat onder de beveiligingsrichtlijn valt flink uit. De wetgeving maakt straks onderscheid tussen essentiële organisaties en belangrijke organisaties, beide moeten voldoen aan de nieuwe eisen. Essentiële sectoren zijn: energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart. Belangrijke sectoren zijn: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en productiebedrijven. Check hier de checklist van de overheid.
Naast de sector waarin je actief bent, kan ook de omvang van je bedrijf bepalen of je essentieel bent. Organisaties worden automatisch aangemerkt als essentieel als één of meerdere van de volgende zaken opgaan:
- Meer dan 250 medewerkers;
- Een jaaromzet van meer dan 50 miljoen euro;
- Een balanstotaal van meer dan 43 miljoen euro.
Daarnaast kan de overheid kleinere organisaties die van cruciaal belang zijn voor de Nederlandse economie of maatschappij onder de NIS2 laten vallen. Dit wordt een aanwijzing genoemd. Dat geldt automatisch voor organisaties die als kritieke entiteit zijn aangemerkt binnen de CER-richtlijn (Critical Entities Resilience Directive) die zich formeel richt op bescherming tegen fysieke dreigingen. Voor wie nieuwsgierig is: hier vind je meer informatie over het verschil tussen de CER- en NIS2-richtlijnen.
Wat moet ik doen om aan NIS2 te voldoen?
De NIS2 legt drie verplichtingen op aan alle organisaties die onder de richtlijn vallen:
- Zorgplicht – je moet een risicobeoordeling uitvoeren zodat je passende maatregelen kunt nemen om jouw netwerk- en informatiesystemen te beschermen en de veiligheid van jouw diensten te waarborgen.
- Meldplicht – Incidenten met aanzienlijke gevolgen voor jouw dienstverlening (bijvoorbeeld een grote verstoring, het leidt tot aanzienlijke financiële schade en/of materiële/immateriële schade) moet je binnen 24 uur bij de toezichthouder melden. Cyberincidenten moeten daarnaast ook aan het Nationale Computer Security Incident Response Team (CSIRT) gemeld worden.
- Registratieplicht – Als jouw bedrijf of organisatie onder de NIS2-richtlijn valt, moet je jezelf verplicht registreren. De toezichthouder controleert of geregistreerde organisaties zich aan de verplichtingen houden.
Wat is het verschil tussen essentiële en belangrijke organisaties?
Het grootste verschil tussen essentiële en belangrijke organisaties is de manier waarop de toezichthouder controleert. Essentiële organisaties vallen onder proactief toezicht. Daar komt de toezichthouder actief controleren of aan de NIS2-richtlijn voldaan wordt. Belangrijke organisaties vallen onder reactief toezicht. Daar komt de toezichthouder pas na een incident controleren of de NIS2 gevolgd is.
Moet ik me aan de NIS2 houden?
Aangezien de NIS2-richtlijn een wet wordt, ben je als organisatie verplicht om daaraan te voldoen. Om navolging van de NIS2 te stimuleren, heeft de EU hoge boetes ingevoerd. Voor essentiële organisaties kan de boete oplopen tot maximaal 10 miljoen euro of 2 procent van de omzet. Voor belangrijke organisaties is de maximale boete 7 miljoen of 1,4 procent van de omzet. Daarnaast kan de overheid directieleden persoonlijk strafrechtelijk aansprakelijk stellen als blijkt dat ze de NIS2-richtlijn genegeerd hebben.
Wanneer gaat NIS2 in?
Op 17 oktober moet de Europese NIS2 richtlijn omgezet zijn in wetgeving. Maar de overheid is al sinds begin 2023 bezig met het omzetten van de NIS2-richtlijnen naar nationale wetgeving. Vanwege de reusachtige schaal en impact van dit project is dit een complex en langlopend proces. In het eerste kwartaal van 2024 vindt de internetconsultatie plaats die organisaties meer inzicht geeft in wat er van hen wordt verwacht. Na de internetconsultatie worden de ontvangen reacties overwogen en nodige veranderingen doorgevoerd. Ook worden specifieke zaken en details nog uitgewerkt in lagere wet- en regelgeving.
Hoewel de definitieve regelgeving nog niet duidelijk is, is het voor organisaties die straks moeten voldoen aan de komende wetgeving is het echter van belang vroegtijdig te beginnen met de voorbereidingen. Het implementeren van de maatregelen zal de meeste organisaties naar verwachting namelijk veel tijd kosten.
Update 31-1: Op 31 januari heeft de minister van Justitie en Veiligheid een brief naar de kamer gezonden met daarin bericht dat de deadline van 17 oktober 2024 niet gehaald gaat worden. Op dit moment is nog niet duidelijk welke nieuwe deadlines aangehouden zullen worden. Dit bericht zal aangevuld worden wanneer er nieuwe informatie vrijkomt.
Update 31-5: De Cyberbeveiligingswet, die de Europese NIS2-richtlijn in Nederland moet implementeren, zal naar verwachting pas in het tweede of derde kwartaal van 2025 in werking treden. Momenteel loopt de internetconsultatie voor het wetsvoorstel. (bron: tweakers.net)
Wat is het verschil tussen de NIS en de NIS2?
De NIS2 breidt de NIS op allerlei vlakken uit. Het belangrijkste verschil tussen de richtlijnen is de insteek. NIS is ingevoerd om digitale veiligheid in de EU te stimuleren voor enkel de aanbieders van vitale- processen en infrastructuur. Het hoofddoel NIS2 is om de uitgangspunten van de richtlijn binnen de EU gelijk te trekken om de digitale en economische weerbaarheid te verbeteren. Bedrijven en organisaties die in verschillende lidstaten actief zijn, hoeven zich zo niet per lidstaat aan andere richtlijnen te houden.
Is er een verschil tussen de AVG en de NIS2?
De Algemene Verordening Gegevensbescherming (AVG) beschermt de persoonsgegevens en privacy van mensen in de EU. De NIS2 beschermt de digitale infrastructuur en de algehele cybersecurity door bedrijven en organisaties te verplichten risicobeoordelingen uit te laten voeren zodat er passende technische en organisatorische veiligheidsmaatregelen genomen kunnen worden.
Voldoe je aan NIS2 als je ISO 27001 gecertificeerd bent?
ISO 27001 geeft een goede indicatie dat jouw organisatie, of de partner waarmee je samenwerkt, op weg zijn om aan NIS2 te voldoen. Op dit moment dekt ISO 27001 versie 2022 de NIS2 als de diensten die onder de NIS2 vallen door de aanbieder binnen de scope (reikwijdte) van ISO 27001 zijn opgenomen. Dit betekent dat de aanbieder een risico-gedreven aanpak heeft, zodat er passende maatregelen genomen worden om de netwerk- en informatiesystemen te beschermen.
Wat is het verschil tussen de NIS2 en BIO?
BIO staat voor Baseline Informatiebeveiliging Overheid. Deze norm is ontwikkeld om informatiebeveiliging binnen de overheid te verbeteren. De huidige BIO dekt nog niet de richtlijnen van NIS2. Een nieuwe BIO (versie 2) is in ontwikkeling en zal gebaseerd zijn op de nieuwe ISO-norm. De nieuwe versie wordt in 2024 verwacht en zal voor de overheid regelgeving worden.
Is Fivespark klaar voor de NIS2?
Fivespark werkt continu aan het verhogen van de cyberweerbaarheid. Wij zijn in 2023 begonnen met voorbereidingen op de NIS2-richtlijn. Sinds vorige maand is Fivespark gecertificeerd voor ISO 27001 versie 2022. De ISO 27001 norm vormt de basis van onze informatiebeveiligingsaanpak. Wij hebben onze vijf pijlers grondig gecontroleerd en zijn bezig de puntjes op de i te zetten. Wij verwachten eind juni 2024 volledig aan de NIS2-richtlijn te voldoen, dat is ruim voor de invoering.
Kan Fivespark mij helpen voldoen aan de NIS2?
Jazeker. Wij kunnen je op weg helpen op het gebied van de NIS2. Wij hebben mensen die ervaring hebben met het proces en kunnen helpen adviseren op het gebied van de NIS2. Neem contact op met je accountmanager om hier meer over te weten.
Waar kan ik meer informatie over NIS2 vinden?
De Digitale Overheid geeft hier meer informatie over de NIS2-richtlijn. Liefhebbers van lange, droge wetsteksten kunnen hier de complete NIS2-richlijn in pdf downloaden. Zoek je een vriendelijke, duidelijke én informatieve bron die je meer over de NIS2 kan vertellen? Bel dan met jouw accountmanager van Fivespark. Wij helpen je graag verder.
Wat kan ik doen om mij voor te bereiden op NIS2?
Je kunt nu al vaststellen of jouw organisatie onder de NIS2 valt. Is dat het geval, dan is het belangrijk om in actie te komen. Zie hiervoor de checklist van de Rijksoverheid. Je kunt zelf beginnen met het maken van risicoanalyses om vast te stellen welke maatregelen je moet nemen.
Zoek je een betere én effectievere aanpak voor security? Dan ben je bij ons aan het goede adres. Wij zetten (onder meer) onze kennis en ervaring met NIS2 in om jouw organisatie op zo veilig mogelijk te maken. Neem contact op met jouw accountmanager als je klant bent, of contacteer ons vrijblijvend op voor een adviesgesprek als je (nog) geen klant bent. Wij staan voor je klaar.
Lees verder over Security.