Let op NIS2 komt eraan!

nis2

De NIS2-richtlijn, die cyberveiligheid in heel Europa moet versterken, had op 17 oktober 2024 in alle lidstaten van kracht moeten zijn. In Nederland is de implementatie echter vertraagd, en de definitieve wetgeving wordt pas in 2025 verwacht. Hoewel de formele verplichtingen dus nog niet gelden, wordt bedrijven sterk aangeraden om nu al stappen te ondernemen. Deze blog bespreekt wat NIS2 inhoudt en hoe organisaties zich kunnen voorbereiden op de komende veranderingen in de Nederlandse wetgeving.

 

Vroeg of laat is ie er toch, dus het is een goed idee om je nu al zo goed als mogelijk voor te bereiden. NIS2 is de afkorting van ‘Netwerk- en Informatiebeveiligingsrichtlijn’, een Europese wet die binnen ‘vitale sectoren’ de cybersecuritystandaarden moet verhogen en de reactie op incidenten moet verbeteren. Dat dwingt vele organisaties om nóg kritischer te kijken naar genomen en te nemen maatregelen als het gaat om cybersecurity. Maar voor wie geldt NIS2?

 

Voor wie?

De eerste versie van de NIS werd in Nederland vertaald naar de Wet Beveiliging Netwerk en Informatiesystemen, de WBNI. De WBNI was gericht op vitale dienstverleners, zoals NUTS-bedrijven. De scope van de nieuwe NIS2 is breder. Essentiële entiteiten zijn grote organisaties met meer dan 250 werknemers of een omzet van meer dan 50 miljoen euro. Het gaat om de sectoren energie, vervoer, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, bankwezen, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart. Het toezicht voor deze entiteiten op naleving van de NIS2 zal proactief gebeuren. Daarnaast is er nog sprake van ‘belangrijke entiteiten’: grote of middelgrote organisaties met meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro. Dat kan gaan om bedrijven in de eerdergenoemde sectoren, of om organisaties in de afvalstoffenbeheer, vervaardiging, vervaardiging, productie en distributie van chemische stoffen, post- en koeriersdiensten, digitale aanbieders, onderzoek en productie, verwerking en distributie van levensmiddelen. Het toezicht op naleving is reactief.

 

Wat staat er in de NIS2?

De belangrijkste onderdelen van NIS2 zijn onder te verdelen in vier punten. “Allereerst een zorgplicht”, vertelt Harm Teerenstra. “Er is een verplichting tot het nemen van passende en evenredige, technische, operationele en organisatorische maatregelen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren, incidenten te voorkomen en de impact van incidenten te beperken. Dat geeft al aan dat incident response, een belangrijk aspect is van de NIS2.” Als tweede punt is de meldplicht belangrijk. Harm: “Er is de verplichting tot het onvoorwaardelijk melden van een incident bij de bevoegde autoriteit. Die bevoegde autoriteit verschilt per organisatie, maar voor de meesten zal het de NCSC zijn, het Nationaal Cyber Security Centrum.” De meldplicht omvat verder dat binnen 24 uur na kennisname van een incident een eerste melding binnen moet zijn en binnen 72 uur een gedetailleerde melding. De organisatie moet op verzoek updates aanleveren en binnen een maand een eindverslag. “Het idee hierachter is dat organisaties van elkaar kunnen en moeten leren in dit soort gevallen. Er moet meer transparantie komen. En ja, je kunt ook leren van de incidenten bij anderen.” Een belangrijke reden waarom NIS2 meer aandacht krijgt dan zijn voorganger, is dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld bij het niet nakomen van verplichtingen. Harm: “Dat is nooit eerder voorgekomen. Voorheen kon iedereen zich verschuilen achter een BV of wat dan ook. Die vlieger gaat straks niet meer op. Dat is wel heel belangrijk punt. Zeker als je naar het vierde punt kijkt: de sancties. Voor essentiële entiteiten is het niet nakomen van de verplichting een sanctie van 10 miljoen euro of 2 procent van de jaaromzet en voor belangrijke entiteiten 7 miljoen euro of 1,4 procent van de jaaromzet.”

 

NIS2-scan

We kunnen er niet omheen: NIS2 komt eraan en wordt naar verwachting juli 2025 door het parlement geratificeerd.  Deze wet betekent dat veel organisaties aan de slag moeten met hun cybersecuritybeleid. Maar hoe doe je dat en waar begin je? Als je wilt weten of jouw bedrijf cyberweerbaar is en voldoet aan de NIS2 regels, vraag dan een NIS2-scan aan. Tijdens een gesprek met een specialist krijg je inzicht in de huidige status van je informatiebeveiliging, potentiële risico’s, en kansen. Na de scan ontvang je een rapport met risico’s, uitleg over NIS2, actiepunten, en advies om je cyberbeveiliging te versterken. Deze scan is kosteloos en vraagt alleen om je tijd—een kleine investering voor waardevol inzicht in de beveiliging van je ICT.

NIS2-scan aanvragen

 

 

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Doe de NIS2-scan

NIS2: vroeg of laat komt ie toch en dan kun je maar beter goed voorbereid zijn. Met de NIS2-scan krijg je een goed inzicht in de huidige security status en weet je wat je moet doen om straks aan de wettelijke voorschriften te voldoen.

Vond je deze blog interessant?

Schrijf je dan in voor onze wekelijkse, korte nieuwsbrief en ontvang handige tips en interessante kennis van onze experts in je inbox. Mis dit niet!

Stuur mij de nieuwsbrief

Je privacy is 100% gegarandeerd.

© 2023 · disclaimer · voorwaarden · privacy · cookies · concept: Custard on & offline communicatie · realisatie: Arrix

Wij willen jou!

Check onze vacatures