De nieuwe NIS2-richtlijn, wat betekent dit voor u?
Het nieuwste EU beleid om cyberveiligheid te verbeteren; wat is het en voor wie geldt het.
Misschien heb je er al wel van gehoord: NIS2. De NIS2-richtlijn (network and information Security Directive) is het nieuwste beleid van de EU om de collectieve cyberveiligheid van de lidstaten te verbeteren. En eind 2024 treedt deze richtlijn dan echt in werking. Dat zorgt natuurlijk voor vragen. In deze blog gaan we in op wat de richtlijn is en wat het voor u betekent.
Wat is NIS2?
NIS2 komt in plaats van de huidige NIS-richtlijn, die in Nederlands geïmplementeerd is als de WBNI (Wet Beveiliging Netwerk- en Informatiesystemen). Zeven jaar na deze richtlijn is het cyberdreigingslandschap aanzienlijk veranderd en voldeed het niet meer aan de behoeften. De NIS2-richtlijn zorgt ervoor dat alle organisaties die een essentiële functie vervullen in de samenleving een hoog niveau van cyberbeveiliging hebben. Het doel hiervan is om weerbaarder te zijn tegen dreigingen die hackers en malware te weeg brengen.
Geldt de NIS2 ook voor u?
Heeft u meer dan 250 medewerkers? Dan moet u sowieso voldoen aan NIS2. Voor organisaties met minder dan 250 medewerkers hangt het van de sector. De NIS2 onderscheidt hierin 2 groepen: essentieel en belangrijk. Voor beide partijen gelden dezelfde eisen op het gebied van cyberbeveiligingsbeheer en het melden van incidenten onder het NIS2. Het grootste verschil tussen essentiële en belangrijke organisaties is de toezicht op de naleving. Voor essentiële aanbieders, voornamelijk partijen in vitale sectoren, moet monitoring strikt proactief zijn en duidelijk terug te vinden zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor organisaties in belangrijke sectoren zal monitoring reactief zijn, wanneer er bewijs is van een cyberincident.
Als uw organisatie in één van deze groepen valt én u heeft meer dan 50 medewerkers óf een minimale jaaromzet en balanstotaal van 10 miljoen, dan moet u ook voldoen aan de NIS2.
Rijksoverheid: NIS2 Zelfevaluatie NL
Weet u niet of uw organisatie onder de richtlijn valt? De Rijksoverheid heeft een tool ontwikkeld om na te gaan of de NIS2-richtlijn op uw organisatie van toepassing is: NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)
Waar uw organisatie aan moet voldoen volgens NIS2
NIS2 zal de problemen met de vorige NIS-wetgeving aanpakken en de regels aanscherpen. Het belangrijkste betreft de inconsistente manier waarop de vorige NIS2-richtlijn werd geïmplementeerd. Dit maakte de samenwerking tussen landen moeilijk en verzwakte het waarborgen van de effectiviteit van de cyberbeveiliging in de EU.
Als u onder de organisaties valt die zich aan de NIS2-richtlijn moet houden, is dit in ieder geval wat u moet uitvoeren/implementeren:
- Risicoanalyse
- Incidentenbehandeling
- Bedrijfscontinuïteitsbeleid
- Beveiliging van toeleveringsketen (in relaties/leveranciers)
- Effectiviteit van maatregelen meten (KPI’s)
- Cyberhygiëne en opleiding voor het personeel
- Beleid en procedures inzake gebruik cryptografie en encryptie
- Beveiligingsaspecten t.a.v. personeel, zoals toegangsbeleid en beheer activa
- Beveiliging bij verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
- Gebruik van 2FA, beveiligd noodcommunicatiesysteem, etc.
De gevolgen van het niet-naleven van de regelgeving
Mocht zich een incident voordoen, dan moet dit binnen 24 uur worden gemeld bij de toezichthouder. Wat belangrijk is om te weten, is dat u als bestuur van uw organisatie aansprakelijk bent voor de naleving van de richtlijn. Doet u dat niet? Dan riskeert u een boete. Deze boetes zijn dezelfde als die voor AVG-overtredingen, waardoor NIS2 op een soortgelijke manier moet worden opgevat en net zo serieus moet worden genomen.
Voorbereiden op NIS2
Zie juist het positieve van NIS2 in! Want door een betere cyberveiligheid, kun je een hoop ellende voorkomen. Minder kans op virussen én boetes! Heeft u nog vragen over NIS2, dan kunt u altijd vrijblijvend contact opnemen.