NIS2: waar staat jouw organisatie?

Op 16 januari 2023 trad de NIS2-richtlijn in werking, gericht op het waarborgen en verhogen van de informatiebeveiliging en cybersecurity bij verschillende publieke en private organisaties. De deadline voor de implementatie van de NIS2 in nationale wetgeving is 17 oktober 2024. Maar de overheid heeft aangekondigd dat zij de deadline voor de invoering van de nationale wet niet zullen halen. Het hele traject wordt naar verwachting tegen het einde van het jaar afgerond, met de wet die begin 2025 van kracht wordt.

Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.

Meer leren over Cybersecurity en de NIS2?

De opleiding tot Certified Cybersecurity Compliance Officer geeft je inzicht in de actuele wet- en regelgeving op het gebied van cybersecurity, waarbij je leert hoe je jouw organisatie kunt helpen om daaraan te voldoen.

Meer informatie

Download onze cheat sheet

Onze handige cheat sheet geeft je binnen een minuut alle essentiële informatie over de NIS2. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.

Download
Nis2 cheatsheet cover highres  (1)

Wat is de NIS2? 

De NIS2-richtlijn, oftewel de Network and Information Security directive ziet voornamelijk toe op het verbeteren van de digitale weerbaarheid van Europese lidstaten en moet leiden tot een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.

De voorloper van NIS 2 is in Nederland in 2016 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds “NIS” gebruikt (en de afkorting is dus NIS 2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Systems. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. De vraag is of “NIS” de lading wel voldoende dekt, maar dat terzijde. In de kern gaat het om het verhogen van het niveau van informatiebeveiliging en cybersecurity.

Naast een focus op de cybersecurity van publieke en private organisaties ziet NIS 2 ook op een verbetering van de samenwerking tussen nationale overheden van EU-lidstaten. Onder andere door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden.

Door de verdere digitalisering en de (grensoverschrijdende) onderlinge verbondenheid is het cyberdreigingslandschap verder uitgebreid. Dit brengt nieuwe uitdagingen met zich mee en vraagt om aanvullende en breder toegepaste maatregelen. NIS 2 ziet hierop en probeert dit te bereiken door middel van implementatie in nationale wetgeving.

Lees meerLees minder

Voor welke sectoren gelden de regels? 

Het aantal organisaties dat onder NIS 2 valt is toegenomen. Het gaat, onder meer, om organisaties die actief zijn in de sectoren zoals genoemd in bijlage I en II van NIS 2. Bekijk de organisaties in deze tabel: 

(Zeer kritieke sectoren)

(Andere kritieke sectoren)

Energie

Post- en koeriersdiensten

Vervoer

Afvalstoffenbeheer

Bankwezen

Vervaardiging, productie en distributie van chemische stoffen

Infrastructuur voor de financiële markt

Productie, verwerking en distributie van levensmiddelen

Gezondheidszorg

Vervaardiging

Drinkwater

Digitale aanbieders

Afvalwater

Onderzoek

Digitale infrastructuur

 

Beheer van ICT-diensten (business-to-business)

 

Overheid

 

Ruimtevaart

 

Lees meerLees minder

Toepassingsgebied

Naast de specifieke sectoren, moet een organisatie gekenmerkt worden als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:

Essentiële entiteit

  • Actief in een sector genoemd in bijlage I van NIS 2 en
  • een “grote” organisatie: 250 personen of meer of een jaaromzet van meer dan EUR 50 miljoen en een balanstotaal boven EUR 43 miljoen

Belangrijke entiteit

  • Actief in een sector genoemd in bijlage I van NIS 2 en
  • een “middelgrote” organisatie: ondernemingen waar minder dan 250 personen werkzaam zijn, en met een jaaromzet niet meer dan 50 miljoen euro, of een jaarlijks balanstotaal van niet meer dan 43 miljoen euro. 

     

    Uitzondering: Als er bij de onderneming minder dan 50 personen werkzaam zijn en als deze daarnaast een jaaromzet of jaarbalans heeft die lager is dan 10 miljoen euro, wordt deze niet gezien als middelgrote onderneming.

     of

  • Actief in een sector genoemd in bijlage II van NIS 2 en
  • een grote of middelgrote organisatie op basis van bovengenoemde criteria

Er zijn een aantal uitzonderingen waarvoor de omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.

Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Deze vorm van toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden. Bij belangrijke entiteiten geldt een lichter regime waarbij er sprake is van toezicht achteraf of als er indicaties zijn van non-compliance met NIS 2 of bijvoorbeeld bij incidenten.

Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt door een ministerie, waardoor NIS 2 dus wel van toepassing wordt.

Lees meerLees minder

Cybersecuritymaatregelen

NIS 2 schrijft voor dat er maatregelen genomen moeten worden voor het beheren van cyberbeveiligingsrisico’s. 

Dit kan risico-gebaseerd, waarbij er rekening gehouden kan worden met de stand van de techniek en de uitvoeringskosten. NIS 2 bevat maatregelen die minimaal geïmplementeerd moeten worden.

Onder andere de volgende maatregelen worden genoemd in NIS 2:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit;
  • beveiliging van de toeleveranciersketen;
  • cyberhygiëne en training op het gebied van cybersecurity;
  • toegangsbeleid;
  • multifactor-authenticatie (wanneer gepast).

Naast bovengenoemde selectie staan er in NIS 2 nog meer maatregelen die minimaal genomen moeten worden (bovenstaande selectie is ter indicatie). 

NIS 2 heeft ook gevolgen voor de governance van organisaties en zal er vermoedelijk toe leiden dat het bestuur van organisaties meer betrokken wordt bij cyberveiligheid en hiervoor ook verantwoordelijk gehouden wordt. Lees hier meer over in deze blog.

Lees meerLees minder

Blijf op de hoogte 

Wil je op de hoogte blijven van de ontwikkelingen op het gebied van de NIS2? Schrijf je dan in voor onze nieuwsbrief. Neem direct contact met ons op voor specifieke vragen. 

 

Nieuwsbrief

Laat je e-mailadres achter en meld je direct aan

Ondersteuning op maat

ICTRecht kan jou op verschillende manieren ondersteunen. Van een knipkaart bij periodieke ondersteuning tot een abonnement voor een vaste juridische partner op afstand. Zo kun je altijd de ondersteuning vinden die aansluit bij jouw behoeften. 

Meer informatie

Contact

Laat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

 

Laat je gegevens achter