ICTRecht - Header - STAAND - Algemeen (5)

    NIS2-richtlijn

    NIS2: waar staat jouw organisatie?

    Op 16 januari 2023 trad de NIS2-richtlijn in werking, gericht op het waarborgen en verhogen van de informatiebeveiliging en cybersecurity bij verschillende publieke en private organisaties. De deadline voor de implementatie van de NIS2 in nationale wetgeving is 17 oktober 2024. Maar de overheid heeft aangekondigd dat zij de deadline voor de invoering van de nationale wet niet zullen halen. Het hele traject wordt naar verwachting tegen het einde van het jaar afgerond, met de wet die begin 2025 van kracht wordt.

    Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.

    Meer leren over Cybersecurity en de NIS2?

    De opleiding tot Certified Cybersecurity Compliance Officer geeft je inzicht in de actuele wet- en regelgeving op het gebied van cybersecurity, waarbij je leert hoe je jouw organisatie kunt helpen om daaraan te voldoen.

    Meer informatie

    Download onze cheat sheet

    Onze handige cheat sheet geeft je binnen een minuut alle essentiële informatie over de NIS2. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.

    Download
    Nis2 cheatsheet cover highres (1)

    Wat is de NIS2? 

    De NIS2-richtlijn, oftewel de Network and Information Security directive ziet voornamelijk toe op het verbeteren van de digitale weerbaarheid van Europese lidstaten en moet leiden tot een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.

    De voorloper van NIS 2 is in Nederland in 2016 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds “NIS” gebruikt (en de afkorting is dus NIS 2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Systems. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. De vraag is of “NIS” de lading wel voldoende dekt, maar dat terzijde. In de kern gaat het om het verhogen van het niveau van informatiebeveiliging en cybersecurity.

    Naast een focus op de cybersecurity van publieke en private organisaties ziet NIS 2 ook op een verbetering van de samenwerking tussen nationale overheden van EU-lidstaten. Onder andere door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden.

    Door de verdere digitalisering en de (grensoverschrijdende) onderlinge verbondenheid is het cyberdreigingslandschap verder uitgebreid. Dit brengt nieuwe uitdagingen met zich mee en vraagt om aanvullende en breder toegepaste maatregelen. NIS 2 ziet hierop en probeert dit te bereiken door middel van implementatie in nationale wetgeving.

    Lees meerLees minder

    Voor welke sectoren gelden de regels? 

    Het aantal organisaties dat onder NIS 2 valt is toegenomen. Het gaat, onder meer, om organisaties die actief zijn in de sectoren zoals genoemd in bijlage I en II van NIS 2. Bekijk de organisaties in deze tabel: 

    (Zeer kritieke sectoren)

    (Andere kritieke sectoren)

    Energie

    Post- en koeriersdiensten

    Vervoer

    Afvalstoffenbeheer

    Bankwezen

    Vervaardiging, productie en distributie van chemische stoffen

    Infrastructuur voor de financiële markt

    Productie, verwerking en distributie van levensmiddelen

    Gezondheidszorg

    Vervaardiging

    Drinkwater

    Digitale aanbieders

    Afvalwater

    Onderzoek

    Digitale infrastructuur

     

    Beheer van ICT-diensten (business-to-business)

     

    Overheid

     

    Ruimtevaart

     
    Lees meerLees minder

    Toepassingsgebied

    Naast de specifieke sectoren, moet een organisatie gekenmerkt worden als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:

    Essentiële entiteit

    • Actief in een sector genoemd in bijlage I van NIS 2 en
    • een “grote” organisatie: 250 personen of meer of een jaaromzet van meer dan EUR 50 miljoen en een balanstotaal boven EUR 43 miljoen

    Belangrijke entiteit

    • Actief in een sector genoemd in bijlage I van NIS 2 en
    • een “middelgrote” organisatie: ondernemingen waar minder dan 250 personen werkzaam zijn, en met een jaaromzet niet meer dan 50 miljoen euro, of een jaarlijks balanstotaal van niet meer dan 43 miljoen euro. 

       

      Uitzondering: Als er bij de onderneming minder dan 50 personen werkzaam zijn en als deze daarnaast een jaaromzet of jaarbalans heeft die lager is dan 10 miljoen euro, wordt deze niet gezien als middelgrote onderneming.

       of

    • Actief in een sector genoemd in bijlage II van NIS 2 en
    • een grote of middelgrote organisatie op basis van bovengenoemde criteria

    Er zijn een aantal uitzonderingen waarvoor de omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.

    Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Deze vorm van toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden. Bij belangrijke entiteiten geldt een lichter regime waarbij er sprake is van toezicht achteraf of als er indicaties zijn van non-compliance met NIS 2 of bijvoorbeeld bij incidenten.

    Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt door een ministerie, waardoor NIS 2 dus wel van toepassing wordt.

    Lees meerLees minder

    Cybersecuritymaatregelen

    NIS 2 schrijft voor dat er maatregelen genomen moeten worden voor het beheren van cyberbeveiligingsrisico’s. 

    Dit kan risico-gebaseerd, waarbij er rekening gehouden kan worden met de stand van de techniek en de uitvoeringskosten. NIS 2 bevat maatregelen die minimaal geïmplementeerd moeten worden.

    Onder andere de volgende maatregelen worden genoemd in NIS 2:

    • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
    • incidentenbehandeling;
    • bedrijfscontinuïteit;
    • beveiliging van de toeleveranciersketen;
    • cyberhygiëne en training op het gebied van cybersecurity;
    • toegangsbeleid;
    • multifactor-authenticatie (wanneer gepast).

    Naast bovengenoemde selectie staan er in NIS 2 nog meer maatregelen die minimaal genomen moeten worden (bovenstaande selectie is ter indicatie). 

    NIS 2 heeft ook gevolgen voor de governance van organisaties en zal er vermoedelijk toe leiden dat het bestuur van organisaties meer betrokken wordt bij cyberveiligheid en hiervoor ook verantwoordelijk gehouden wordt. Lees hier meer over in deze blog.

    Lees meerLees minder

    Hoe kunnen wij jou hiermee helpen?

    Analyse en implementatie

    Wij kunnen adviseren of de NIS2 op jouw organisatie van toepassing is. Als de NIS2 van toepassing is kunnen we jou ondersteunen met een nulmeting en gapanalyse.

    Wij helpen je bij iedere stap in de fase van analyse en implementatie, zodat jouw organisatie de NIS2 voor 18 oktober 2024 geïmplementeerd heeft.

    Uitvoeren van een risicoanalyse

    Een belangrijk onderdeel van de NIS2 is het uitvoeren van een risicoanalyse. Hulp nodig bij het opstellen hiervan? Wij helpen je graag!

    Tabletop oefening met rapportage

    Heb je een incidentmanagementproces of BCP opgesteld dan is het belangrijk dat deze ook getest wordt. Dit kan door middel van een Tabletop oefening.

    Onze collega’s begeleiden jou graag bij de uitvoering hiervan. Naderhand krijg je een rapportage met daarin tips en tricks om het proces te verbeteren.

    Inhouse training volgen

    Heeft iedereen de juiste kennis over de NIS2 binnen jouw organisatie? Met onze inhouse training zorg je ervoor dat iedereen dezelfde kennis over de NIS2 heeft.

    Van bestuurder, Information Security Officer tot ICT-medewerker. Iedereen is welkom!

    Blijf op de hoogte 

    Wil je op de hoogte blijven van de ontwikkelingen op het gebied van de NIS2? Schrijf je dan in voor onze nieuwsbrief. Neem direct contact met ons op voor specifieke vragen. 

     

    Nieuwsbrief

    Laat je e-mailadres achter en meld je direct aan

    Waarom ICTRecht

    Juridische kracht én technische slimheid

    Juridische kracht én technische slimheid
    Technologische ontwikkelingen gaan snel en lijken soms onoverzichtelijk.

    Daarom willen wij precies weten hoe het zit: niet alleen wat wet- en regelgeving betreft, maar ook technisch. Juist die combinatie stelt ons in staat om jou verder te helpen.​

    Doelgericht en no-nonsense

    Van ons geen omvangrijke rapporten, maar duidelijke oplossingen waarmee je direct aan de slag kunt.

    We zorgen dat je precies weet wat je nodig hebt, zonder het nodeloos ingewikkeld te maken.

    20 Jaar deskundigheid

    Al 20 jaar volgen wij op de voet hoe technologie zich ontwikkelt en hoe wet- en regelgeving daarbij aansluit.

    Maar vooral onze praktijkervaring is van grote waarde: we kennen de knelpunten en weten hoe je ermee om kunt gaan.

    Wij zijn continu in beweging

    We denken en bewegen mee met jou en jouw dagelijkse praktijk. ​Voor nieuwe uitdagingen vinden we nieuwe oplossingen.

    En we zoeken continu naar manieren om onze dienstverlening nog beter en effectiever te maken.

    Ondersteuning op maat

    ICTRecht kan jou op verschillende manieren ondersteunen. Van een knipkaart bij periodieke ondersteuning tot een abonnement voor een vaste juridische partner op afstand. Zo kun je altijd de ondersteuning vinden die aansluit bij jouw behoeften. 

    Meer informatie

    Contact

    Laat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.

    Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

     

    Laat je gegevens achter
    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram