Wat is NIS2?
NIS2 is de opvolger van de Network- and Information Security-richtlijn uit 2016. Beide Europese wetten leggen minimale securitymaatregelen op aan bepaalde organisaties. Het doel: betere bescherming van digitale systemen en grotere cyberweerbaarheid in alle EU-landen.
De nieuwe richtlijn, die in Nederland wordt vastgelegd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), treedt eind 2024 in werking. Ben je als organisatie niet compliant met NIS2? Dan kun je een forse boete krijgen, oplopend tot miljoenen euro’s.
Welke organisaties vallen onder de richtlijn?
Voorganger NIS is alleen van toepassing voor grotere maatschappijkritische organisaties. NIS2 gaat gelden voor veel méér organisaties. Namelijk alle middelgrote en grote én enkele kleine organisaties die kritische diensten leveren.
Daarbij wordt onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Essentiële entiteiten zijn grotere organisaties waarvan een verstoring van de dienstverlening serieuze consequenties heeft voor onze economie of maatschappij. Denk aan branches zoals transport, gezondheidszorg, energie, digitale infrastructuur, overheid en finance. Bij belangrijke entiteiten gaat het om middelgrote organisaties binnen sectoren als voedsel, digitale dienstverlening, post- en koeriersdiensten en manufacturing.
Beide soorten entiteiten moeten aan dezelfde securitymaatregelen voldoen. Essentiële entiteiten worden zowel voor als na voorvallen gemonitord. Belangrijke entiteiten alleen erna, bijvoorbeeld als er een incident heeft plaatsgevonden of wanneer er indicaties zijn voor non-compliance.
Een uitgebreidere uitleg over essentiële en belangrijke entiteiten vind je op
Hoe zit het met kleine bedrijven?
In principe vallen micro- en kleinbedrijven niet onder de richtlijn. De verantwoordelijke minister kan echter bepalen dat ook een kleiner bedrijf moet voldoen aan NIS2. Uit een risicobeoordeling moet dan blijken dat de dienstverlening cruciaal is voor de Nederlandse economie of maatschappij. Het gaat dan bijvoorbeeld om aanbieders van domeinnaamregistratie en elektronische communicatiediensten. Het bedrijf in kwestie wordt hierover geïnformeerd.
Welke verplichtingen brengt NIS2 met zich mee?
Val je als bedrijf binnen de reikwijdte van NIS2, dan heb je een zorgplicht. Oftewel: je moet een risicobeoordeling uitvoeren en op basis daarvan alle securitymaatregelen nemen die nodig zijn om de digitale veiligheid en continuïteit van je onderneming te waarborgen.
Naast een zorgplicht heb je ook een meldplicht. Je bent verplicht om securitygerelateerde verstoringen binnen je digitale dienstverlening binnen 24 uur te melden bij een (nader te bepalen) toezichthouder. Ook moet je cyberincidenten doorgeven aan het Computer Security Incident Response Team (CSIRT), dat vervolgens ondersteuning kan bieden.
Goed om te melden: de nieuwe regels gelden niet alleen voor kantoren, maar ook voor bedrijfsgerelateerde security daarbuiten – zoals onderweg of bij medewerkers thuis. Het is dus van belang dat je controle hebt over álle datastromen.
Hoe kun je aan het hele eisenpakket voldoen?
NIS2 schrijft niet precies voor welke technologieën of oplossingen je moet implementeren. Wel noemt de richtlijn een aantal aandachtsgebieden, zoals risicobeoordeling, de beveiliging van je toeleveringsketen en
Het
NIS2 is minimum, geen eindpunt
NIS2 is dus niet expliciet over de securitymaatregelen die je moet treffen. Toch is het beter om de richtlijn niet als een eindpunt te zien, maar als een minimumstandaard. Het dreigingslandschap evolueert immers continu en aanvallers zullen
Val je als (mkb-)bedrijf niet onder NIS2? Fijn dat je geen hoge boetes vanwege non-compliance riskeert, maar waak ervoor dat cybersecurity geen ondergeschoven kindje wordt. Voor íéder bedrijf is het namelijk van belang het IT-landschap zo goed mogelijk te beschermen. Niet alleen omdat het dreigingsniveau constant toeneemt, maar ook omdat je met de dag afhankelijker wordt van digitale processen.