Begin dit jaar is in de EU de NIS2 richtlijn in werking getreden. In de afgelopen jaren zijn het aantal cyberrisico’s sterk vergroot en vinden er steeds meer cyberaanvallen plaats. De EU heeft daarom besloten om de NIS2 richtlijn te ontwikkelen en de wetgeving verder aan te scherpen. Momenteel wordt de NIS2 vertaald naar een nationale wetgeving (NIB2). Het is wel belangrijk om nu al de eerste stappen te zetten en te voldoen aan de eisen die wel al bekend zijn. In dit artikel vertellen we meer over de NIS2 en leggen we je uit wat dit voor jou betekent.
Wat is de NIS2 richtlijn?
NIS2 is een Europese richtlijn die gericht is op het beveiligen van cybersecurity. NIS2 is de opvolger van de NIS (Network & Information Systems) directive en kennen we in Nederland beter als: NIB (Netwerk & Informatiebeveiligingsrichtlijn). Met de NIS2 wil de EU de cyberweerbaarheid versterken en het beveiligingsniveau van organisaties verhogen.
De wijzigingen in de NIS2 richtlijn
In de NIS2 zijn eisen verder aangescherpt, strengere toezichtmaatregelen genomen en is het toepassingsgebied verder uitgebreid. Zo geldt de NIS2 nu voor meer sectoren en zijn ook zij verplicht om maatregelen te treffen. NIS2 maakt onderscheid tussen essentiële sectoren en belangrijke sectoren. Val je in een van deze sectoren? Dan moet je automatisch voldoen aan de NIS2 (onderstaand vind je de sectoren terug).
Toepassingsgebied NIS2
Je valt onder de NIS2 richtlijn als:
- Je organisatie actief is in een sector die genoemd is in bijlage 1 of 2 (zie onderstaand).
- Je een middelgrote onderneming bent: je hebt 50 tot 250 werknemers in dienst of je behaalt een jaaromzet van meer dan €10 miljoen.
- Je een grote organisatie bent: je beschikt over meer dan 250 werknemers of je behaalt een netto omzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen.
Let op! Er zijn ook aanvullingen op bovenstaande regelingen. Hieronder leggen we ze voor je uit:
- Ketenpartners: ben je niet actief in bovengenoemde sectoren? Maar ben je wel een belangrijke schakel bij het proces van een van deze essentiële of belangrijke sectoren? Dan moet ook jij voldoen aan de NIS2 richtlijn.
- Uitzonderingen: Kleine bedrijven die een belangrijke schakel zijn bij de infrastructuur van het internet moeten ook voldoen aan de NIS2.
- Energie
- Transport
- Infrastructuur financiële markt
- Bankwezen
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Beheerders ICT diensten
- Ruimtediensten
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging/manufacturing
Verplichtingen NIS2 richtlijn
De NIS2 richtlijn is opgebouwd uit de volgende verplichtingen:
- Zorgplicht. Organisaties die onder de NIS2 vallen zijn verplicht op een risicobeoordeling uit te voeren en passende maatregelen te nemen.
- Meldplicht. Vindt er een incident plaats? Dan is de organisatie verplicht om binnen 24 uur melding te maken bij de toezichthouder en afhankelijk van de ernst van het incident, ook bij het CSIRT (Computer Security Incident Response Team).
- Toezicht. Val je onder de NIS2 richtlijn? Dan kom je onder toezicht te staan. Er wordt dan gekeken of dat je de verplichtingen ook daadwerkelijk naleeft.
Wanneer een organisatie de richtlijnen van de NIS2 niet naleeft, kunnen er sancties worden opgelegd, zoals boetes. Deze sancties worden bepaald op basis van de situatie en de sector waarin je je bevindt.
Voldoe aan de basiseisen van NIS2 met ISO 27001
In de NIS2 richtlijn ligt meer aandacht op risicomanagement, incidentenmanagement en crisisbeheer. En dat is waar ISO 27001 om de hoek komt kijken. ISO 27001 is de internationale norm op het gebied van informatiebeveiliging en biedt een uitstekende basis om te voldoen aan de vereisten van de NIS2 richtlijn. ISO 27001 brengt de volgende voordelen met zich mee:
- Verbeterde informatiebeveiliging en risicobeheer: ISO 27001 helpt organisaties om risico’s te identificeren, waardoor de juiste maatregelen worden genomen en de algehele informatiebeveiliging verbeterd.
- Vertrouwen van klanten: Met ISO 27001 laat je zien correct om te gaan met het beveiligen van privacy gevoelige gegevens. Dit wekt vertrouwen op bij klanten.
- Verbeterde interne processen: Door een kritische blik te werpen op de interne processen en de juiste maatregelen te nemen, zorg je ervoor dat dit efficiënter kan worden ingericht.
- Continue verbetering: Organisaties moeten het informatiebeveiligingssysteem continu bijhouden en verbeteren volgens de PDCA cyclus. Hierdoor blijft je organisatie ontwikkelen en verbeteren.
Meer weten?
Wil je meer weten over de NIS2 richtlijn in relatie tot ISO 27001? Lees het op onze NIS2 pagina, waar we uitleggen hoe deze ISO norm ondersteunt bij het naleven van de NIS2 wetgeving. Als je een handig overzicht wilt downloaden over de voordelen van ISO 27001, bekijk dan onze ISO 27001 checklist.
Heb je nog andere vragen over de NIS2 richtlijn of ISO 27001? Neem gerust contact met ons op en we helpen je graag verder!