Vanaf eind 2024 geldt NIS2 in Nederland. Deze Europese richtlijn legt minimale cybersecuritymaatregelen op aan een breed scala aan organisaties, waaronder veel (grotere) mkb-bedrijven. Wat is NIS2 precies? Op welke ondernemingen is het van toepassing? Wat houdt het in als je eronder valt? En hoe zorg je ervoor dat je compliant bent? We geven antwoord op de meestgestelde vragen.
Wat is NIS2?
NIS2 is de opvolger van de Network- and Information Security-richtlijn uit 2016. Beide Europese wetten leggen minimale securitymaatregelen op aan bepaalde organisaties. Het doel: betere bescherming van digitale systemen en grotere cyberweerbaarheid in alle EU-landen.
De nieuwe richtlijn, die in Nederland wordt vastgelegd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), treedt eind 2024 in werking. Ben je als organisatie niet compliant met NIS2? Dan kun je een forse boete krijgen, oplopend tot miljoenen euro’s.
Welke organisaties vallen onder de richtlijn?
Voorganger NIS is alleen van toepassing voor grotere maatschappijkritische organisaties. NIS2 gaat gelden voor veel méér organisaties. Namelijk alle middelgrote en grote én enkele kleine organisaties die kritische diensten leveren.
Daarbij wordt onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Essentiële entiteiten zijn grotere organisaties waarvan een verstoring van de dienstverlening serieuze consequenties heeft voor onze economie of maatschappij. Denk aan branches zoals transport, gezondheidszorg, energie, digitale infrastructuur, overheid en finance. Bij belangrijke entiteiten gaat het om middelgrote organisaties binnen sectoren als voedsel, digitale dienstverlening, post- en koeriersdiensten en manufacturing.
Beide soorten entiteiten moeten aan dezelfde securitymaatregelen voldoen. Essentiële entiteiten worden zowel voor als na voorvallen gemonitord. Belangrijke entiteiten alleen erna, bijvoorbeeld als er een incident heeft plaatsgevonden of wanneer er indicaties zijn voor non-compliance.
Een uitgebreidere uitleg over essentiële en belangrijke entiteiten vind je op deze Rijksoverheid-pagina.
NIS2: een pragmatisch eBook voor compliance
Wat zijn de kernprincipes van NIS2? Is NIS2 van toepassing voor jouw organisatie en hoe voldoe jij hieraan.
DownloadHoe zit het met kleine bedrijven?
In principe vallen micro- en kleinbedrijven niet onder de richtlijn. De verantwoordelijke minister kan echter bepalen dat ook een kleiner bedrijf moet voldoen aan NIS2. Uit een risicobeoordeling moet dan blijken dat de dienstverlening cruciaal is voor de Nederlandse economie of maatschappij. Het gaat dan bijvoorbeeld om aanbieders van domeinnaamregistratie en elektronische communicatiediensten. Het bedrijf in kwestie wordt hierover geïnformeerd.
Welke verplichtingen brengt NIS2 met zich mee?
Val je als bedrijf binnen de reikwijdte van NIS2, dan heb je een zorgplicht. Oftewel: je moet een risicobeoordeling uitvoeren en op basis daarvan alle securitymaatregelen nemen die nodig zijn om de digitale veiligheid en continuïteit van je onderneming te waarborgen.
Naast een zorgplicht heb je ook een meldplicht. Je bent verplicht om securitygerelateerde verstoringen binnen je digitale dienstverlening binnen 24 uur te melden bij een (nader te bepalen) toezichthouder. Ook moet je cyberincidenten doorgeven aan het Computer Security Incident Response Team (CSIRT), dat vervolgens ondersteuning kan bieden.
Goed om te melden: de nieuwe regels gelden niet alleen voor kantoren, maar ook voor bedrijfsgerelateerde security daarbuiten – zoals onderweg of bij medewerkers thuis. Het is dus van belang dat je controle hebt over álle datastromen.
eBook: Gehackt!
Wat moet je doen bij hacks, phishing, ransomware of andere cybercrime? Wees voorbereid met ons eBook.
DownloadHoe kun je aan het hele eisenpakket voldoen?
NIS2 schrijft niet precies voor welke technologieën of oplossingen je moet implementeren. Wel noemt de richtlijn een aantal aandachtsgebieden, zoals risicobeoordeling, de beveiliging van je toeleveringsketen en kwetsbaarhedenmanagement.
Het Digital Trust Center van de Rijksoverheid somt vijf elementaire basisprincipes op voor veilig digitaal ondernemen: inventariseer kwetsbaarheden, kies veilige instellingen, voer updates uit, beperk toegang tot systemen en data, en voorkom virussen en andere malware. Ook het opstellen van zowel een incidentrespons- als bedrijfscontinuïteitplan én het creëren van awareness over veelvoorkomende securityzaken bij medewerkers is verstandig.
NIS2 is minimum, geen eindpunt
NIS2 is dus niet expliciet over de securitymaatregelen die je moet treffen. Toch is het beter om de richtlijn niet als een eindpunt te zien, maar als een minimumstandaard. Het dreigingslandschap evolueert immers continu en aanvallers zullen om de standaardmaatregelen heen gaan werken, bijvoorbeeld via zero-day kwetsbaarheden en AI-gebaseerde aanvallen. Bovendien focust NIS2 hoofdzakelijk op algemene aspecten, terwijl jouw onderneming misschien unieke risico’s kent die een cybersecuritybeleid op maat vereisen.
Val je als (mkb-)bedrijf niet onder NIS2? Fijn dat je geen hoge boetes vanwege non-compliance riskeert, maar waak ervoor dat cybersecurity geen ondergeschoven kindje wordt. Voor Ãéder bedrijf is het namelijk van belang het IT-landschap zo goed mogelijk te beschermen. Niet alleen omdat het dreigingsniveau constant toeneemt, maar ook omdat je met de dag afhankelijker wordt van digitale processen.
