Eind 2024 komt er in Nederland nieuwe wetgeving rondom digitale beveiliging op basis van de Europese NIS2-richtlijn. Op dat moment vallen niet alleen grote organisaties en dienstverleners onder beveiligingswetgeving, maar gaan er ook strenge regels voor (relatief) kleinere organisatie komen. Valt jouw organisatie onder de nieuwe wet? Je kunt jezelf er nu al op voorbereiden.
Digitale beveiliging is minstens zo belangrijk als fysieke bescherming van je organisatie. Criminelen kunnen op afstand ernstige schade veroorzaken, grote bedragen stelen en zelfs hele bedrijfssectoren ontwrichten. Ondanks de toename van deze dreiging bleef cybersecurity jarenlang onderbelicht. Mede daarom kwam de EU in 2016 in actie. Op basis van de NIS-richtlijn (Network & Information Security directive) spraken lidstaten af om gezamenlijk de computerbeveiliging binnen de EU te verbeteren.
Op basis van de NIS-richtlijn ging in Nederland in 2018 de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in. Grote, essentiële organisaties en digitale dienstverleners moeten van deze wet verplicht veiliger gaan werken. Als de overheid stelt dat jouw organisatie onder de Wbni valt, dan heb je de plicht om risico’s te beoordelen en maatregelen te nemen. Gaat er iets mis, dan moet je dat melden bij een toezichthouder. Daar staat tegenover dat de overheid aangewezen organisaties ondersteunt (bijvoorbeeld via het Nationaal Cyber Security Centrum (NCSC).
Hoewel de digitale beveiliging binnen de EU dankzij de NIS1-richtlijn verbeterd is, kon het toch beter. Het is binnen deze richtlijn aan de lidstaten zelf om boetes, handhaving en exacte inrichting van de wetgeving te regelen. Met de NIS2 wil de EU meer eenheid brengen binnen de beveiligingswetgeving en gelijktijdig de scope uitbreiden. Dat moet de digitale beveiligingsgraad in de EU verder verhogen. Wat ons betreft zeer terecht, aangezien aanvallen op de digitale infrastructuur in hoeveelheid en heftigheid blijven toenemen.
De meest in het oog springende wijziging van de NIS2 ten opzichte van de NIS1 is wie er onder de richtlijn vallen. Binnen de NIS1 wijst de overheid organisaties aan die actief zijn binnen de sectoren energie, zorg, transport, banken en financiën, drinkwater en de digitale infrastructuur (plus wat uitzonderingen buiten deze sectoren en een aantal digitale dienstverleners). De NIS2 schrijft aan de lidstaten voor wie er onder de wetgeving vallen. De richtlijn bevat niet alleen meer sectoren, maar definieert ook wat essentiële aanbieders precies zijn en voegt daar een tweede categorie organisaties aan toe.
Binnen de NIS2 is iedere organisatie met meer dan 50 medewerkers en een jaaromzet van meer dan 10 miljoen euro automatisch essentieel. Lidstaten kunnen zelf kleinere organisaties essentieel noemen en aan het toezicht toevoegen. Daarnaast breidt de nieuwe richtlijn het type sectoren uit. De essentiële sectoren uit de NIS1 blijven. Daar komen afvalwater, beheer van ICT-diensten, overheid en ruimtevaart bij. Daarnaast wijst de NIS2 belangrijke sectoren aan. Dat zijn post- en koeriersdiensten, afvalstoffenbeheer, chemie, voedsel, maakindustrie en onderzoeksorganisaties. Digitale aanbieders gaan ook onder de belangrijke sector vallen.
Organisaties moeten van de NIS2 zelf vaststellen of de wetgeving op ze van toepassing is. Organisaties die binnen NIS2 onder de essentiële sectoren vallen, krijgen te maken met proactief toezicht; de toezichthouder komt actief controleren of de wet wordt nageleefd. Organisaties die onder de noemer ‘belangrijk’ vallen krijgen te maken met reactief toezicht. Controle volgt pas als er al een incident is geweest.
Voldoe je niet aan de wet, dan heb je een probleem. In lijn met de boetes die gekoppeld zijn aan de GDPR/AVG-wetgeving, hangen er ook stevige boetes aan het negeren van wetgeving die uit de NIS2-richtlijn voortkomt. De boete voor essentiële organisaties kan oplopen tot minimaal 10 miljoen euro of 2 procent van de omzet. Voor belangrijke organisaties ligt de maximale boete op minimaal 7 miljoen euro of 1,4 procent van de omzet. Daarnaast is het mogelijk om mensen op directieniveau persoonlijk en mogelijk zelfs strafrechtelijk aansprakelijk te stellen als de richtlijnen worden genegeerd.
Reden genoeg om in actie te komen. Maar wat kun je doen? De NIS2-richtlijn is 16 januari 2023 ingegaan binnen de EU. Het is nu aan de individuele lidstaten om deze richtlijn om te zetten in wetgeving. De deadline daarvoor ligt op 17 oktober 2024. Nederland was van plan om in mei een internetconsultatieperiode van zes weken te houden. Die is doorgeschoven naar het najaar. De verwachting is dat wetgeving op basis van NIS2 eind 2024 wordt doorgevoerd.
Kort samengevat: het is belangrijk om je vast voor te bereiden, maar wat er precies in de wet komt is nog niet bekend. Kijkend naar de NIS2-richtlijn kun je wel al vaststellen of jouw organisatie essentieel of belangrijk is. Op digitaleoverheid.nl vind je meer informatie, bestaande kaders en aandachtspunten.
Er is een eenvoudiger én beter alternatief op deze voorbereiding. Je kunt ook onze expertise inschakelen. We zetten onze kennis en ervaring met informatiebeveiliging graag in voor jouw organisatie. Onze mensen komen graag langs om jouw beveiliging te controleren en – waar nodig – te verbeteren. Zo heb je een goede uitgangspositie ten opzichte van NIS2 en ga je direct al veiliger werken. Cyberdreigingen zijn ernstig genoeg om de EU (relatief) snel in beweging te krijgen en dus zéker reden genoeg om jouw digitale deuren van goede sloten te voorzien.
Plan een vrijblijvend adviesgesprek in, we staan voor je klaar.
Lees verder over Security.