NIS2 voor een veiligere digitale omgeving, moet jouw bedrijf hieraan voldoen?
Moet jij voldoen aan de NIS2, maar weet je niet waar je moet beginnen? Je bent niet de enige. De NIS2-richtlijn is een complexe Europese wetgeving die grote gevolgen heeft voor bedrijven in diverse sectoren. Maar wat betekent dit precies voor jouw organisatie? Welke verplichtingen brengt de NIS2 met zich mee? En hoe zorg je ervoor dat je voldoet aan de wetgeving zonder boetes of beveiligingsrisico’s?
In dit artikel heb ik alle basisinformatie over de NIS2 samengevat en in één overzichtelijk stuk geplaatst. Zo weet je precies of jouw bedrijf aan de NIS2 moet voldoen en wat de belangrijkste stappen zijn om compliant te worden.
Wat is de NIS2?
NIS staat voor Netwerk- en Informatiesystemen. In het Nederlands wordt dit ook wel de NIB-richtlijn genoemd, waarbij NIB staat voor richtlijn Netwerk- en Informatiebeveiliging. NIS en NIB zijn dus beide afkortingen voor dezelfde richtlijn die vanuit de EU een kader biedt voor de beveiliging van netwerk- en informatiesystemen die van cruciaal belang zijn voor de openbare veiligheid.
Met andere woorden, het doel van de NIS-richtlijn is om het niveau van cyberweerbaarheid binnen de EU te verhogen. De NIS2 is de benaming vanuit de Europese Unie. Nederland heeft de NIS2-wetgeving de Cyberbeveiligingswet genoemd.
Wie moet er aan de NIS2 voldoen?
Je kunt in drie duidelijke stappen nagaan of jij aan de NIS2 moet voldoen. De NIS2-richtlijn heeft betrekking op zowel de sectoren die al onder de oorspronkelijke NIS-richtlijn vallen als op diverse nieuwe sectoren. Dit betekent dat het aantal publieke en private entiteiten dat aan deze richtlijn moet voldoen, aanzienlijk toeneemt. De organisaties die onder de NIS2-richtlijn vallen – en dus ook onder de Cyberbeveiligingswet – omvatten de volgende sectoren:
1. Kritieke sectoren
Sector bijlage 1:
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
Sector bijlage 2:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging / manufacturing
2. Bedrijfsgrootte
De grootte van een bedrijf of organisatie wordt vastgesteld op basis van twee categorieën, waarvoor de volgende criteria zijn vastgesteld:
Een organisatie wordt als ‘groot’ beschouwd als:
- Er minimaal 250 medewerkers zijn, OF;
- De jaarlijkse omzet meer dan 50 miljoen euro bedraagt en het balanstotaal meer dan 43 miljoen euro is.
Een organisatie wordt als ‘middelgroot’ aangemerkt als:
- Er minimaal 50 medewerkers zijn, OF;
- De jaarlijkse omzet meer dan 10 miljoen euro bedraagt en het balanstotaal meer dan 10 miljoen euro is.
Daarna wordt, op basis van de sectoren vermeld in bijlage I en II van de Cyberbeveiligingswet, bepaald of een organisatie als een ‘kritieke entiteit’ of een ‘belangrijke entiteit’ wordt geclassificeerd.
3. Uitzonderingen op de NIS2 directive
Er geldt een uitzondering voor de sector Overheid, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen, DNS-dienstverleners en -aanbieders van domeinregistratiediensten. Al deze bedrijven en organisaties, ongeacht hun omvang, dus zowel groot, middelgroot als micro/klein, vallen direct onder de Cyberbeveiligingswet.
Voor micro- en kleinbedrijven is de Cyberbeveiligingswet echter alleen van toepassing als een bevoegde minister, verantwoordelijk voor een specifieke sector, besluit om een micro- of kleinbedrijf aan te wijzen op basis van een risicobeoordeling.
Op het Digital Trust Centre kan je ook een NIS2-check doen
Het verschil tussen essentiële en belangrijke entiteiten
Een belangrijk verschil met de oorspronkelijke NIS-richtlijn is dat organisaties automatisch onder de Cyberbeveiligingswet vallen als zij actief zijn in één van de hierboven genoemde sectoren en voldoen aan de onderstaande criteria om als ‘essentiële’ of ‘belangrijke’ entiteit te worden gekarakteriseerd.
Essentiële entiteiten zijn:
- Grote organisaties die actief zijn in een sector die is opgenomen in bijlage I van de NIS2-richtlijn (zie tabel hierboven).
- Organisaties die als ‘kritieke entiteit’ worden aangemerkt onder de Critical Enterprise Resilience Richtlijn (CER).
- Middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten worden ook als essentiële entiteiten beschouwd.
- De sector Overheid, gekwalificeerde vertrouwen dienstverleners (QTSP), registers voor topleveldomeinnamen en aanbieders van domeinnaam registratie diensten. Al deze bedrijven en organisaties, ongeacht hun grootte, dus zowel groot, middelgroot als micro/klein, vallen direct onder de Cyberbeveiligingswet als essentiële entiteit.
Waar moet jouw organisatie aan voldoen?
| # | Zorgplicht maatregel |
|---|---|
| 1A | Risico analyse |
| 2B | Incidentenbehandeling |
| 3C | Bedrijfscontinuiteit (back-upbeheer, noodvoorzieningen, crisisbeheer) |
| 4D | Beveiliging toeleveringsketen (supply chain) |
| 5E | Beveliging bij het verwerven, ontwikkelen en onderhouden van netwerk (plus respons op en bekendmaking van kwetsbaarheden) |
| 6F | Effectiviteit meten van maatregelen (beleid en procedures) |
| 7G | Cyberhygiene en opleiding |
| 8H | Beleid en procedures inzake gebruik cryptografie en encryptie |
| 9I | Human resources beveiligingsaspecten (rechtenbeheer) |
| 10J | Wanneer gepast, MFA, continue authenticatieoplossingen, beveiligde communicatie, beveiligde noodcommuniciatiesystemen |
Samengevat: welke verplichtingen schrijft de NIS2-richtlijn voor?
1. Registratieplicht
Organisaties die onder de Cyberbeveiligingswet vallen, zijn wettelijk verplicht zich te registreren in een speciaal entiteitenregister. Het Nationaal Cyber Security Centrum (NCSC) ontwikkelt hiervoor een online platform, waar bedrijven zichzelf als NIS2-entiteit kunnen registreren. Alle lidstaten dienen een dergelijk register te onderhouden, wat bijdraagt aan een Europees overzicht van de entiteiten die onder de NIS2-richtlijn vallen.
2. Zorgplicht
Organisaties moeten een zorgplicht naleven, die hen verplicht een grondige risicoanalyse uit te voeren van hun netwerk- en informatiesystemen. Op basis van deze analyse moeten zij proportionele en passende beveiligingsmaatregelen implementeren om de continuïteit en veiligheid van hun diensten te waarborgen.
Bestuursleden zijn verantwoordelijk voor de goedkeuring en het toezicht op deze maatregelen en dienen hiervoor voldoende opgeleid te zijn, zodat zij de naleving effectief kunnen monitoren.
3. Meldplicht
Entiteiten zijn verplicht om binnen 24 uur significante incidenten te melden bij het Computer Security Incident Response Team (CSIRT) en de bevoegde toezichthouder. Deze meldingen zijn vereist bij incidenten die een aanzienlijke verstoring van de dienstverlening kunnen veroorzaken. CSIRT kunnen vervolgens hulp en bijstand verlenen. De exacte criteria voor wat een significant incident vormt, worden nog nader gespecificeerd, maar kunnen bijvoorbeeld financiële verliezen of operationele schade bij betrokkenen omvatten. Het NCSC zal een centraal meldportaal opzetten waar organisaties zowel verplichte als vrijwillige meldingen van bijna-incidenten kunnen indienen.
4. Toezicht
Toezichthouders zullen nauwlettend toezien op de naleving van de NIS2-verplichtingen, waaronder de zorgplicht en meldplicht. Deze controle is niet alleen gericht op de organisatie als geheel, maar kan in extreme gevallen ook individuele bestuurders aansprakelijk stellen voor het niet-naleven van de wetgeving. Het toezicht wordt uitgevoerd door de bevoegde autoriteiten, die indien nodig sancties kunnen opleggen.
Consequenties aan het niet voldoen aan de NIS2?
Om ervoor te zorgen dat de NIS2-richtlijn wordt nageleefd, zijn er aanzienlijke boetes ingesteld. Essentiële bedrijven lopen het risico op een boete van 10 miljoen euro of 2% van hun wereldwijde omzet, terwijl belangrijke bedrijven een minimale boete van 7 miljoen euro kunnen krijgen, of ook 2% van hun wereldwijde omzet. Deze informatie is terug te vinden in hoofdstuk VII, artikel 34 van de NIS2-richtlijn.
Waar te beginnen?
De NIS2-richtlijn stelt strenge eisen aan bedrijven en organisaties die onder de wetgeving vallen. Van een verplichte risicoanalyse en cybersecuritymaatregelen tot meldplichten bij incidenten— het is geen kwestie van ‘even snel regelen’, maar een serieuze verplichting.
Dit is een noodzakelijke ontwikkeling, want naarmate bedrijven verder digitaliseren en automatiseren, neemt het belang van online veiligheid alleen maar toe. Zonder regelgeving, zoals NIS2, zouden bedrijven wel profiteren van digitale vooruitgang, maar onvoldoende beschermd zijn tegen cyberdreigingen. Dit zou niet alleen gevolgen hebben voor organisaties zelf, maar ook voor consumenten en andere ondernemers. De NIS2-richtlijn draagt bij aan een veiligere digitale omgeving, waarin zowel bedrijven als hun klanten beter beschermd zijn tegen cyberrisico’s.
Over de auteur
