NIS2

Nieuwe wetgeving voor cybersecurity actief

Nederlandse organisaties die essentiële diensten leveren moeten in 2023 voldoen aan de nieuwe NIS2 cybersecurity wetgeving. Deze moet Europese organisaties meer bescherming bieden tegen de exponentieel stijgende cybercriminaliteit.

Lees meer

Wat is de NIS2?

De afkorting NIS staat voor Network and Information Systems. De NIS2 is de opvolger van het NIS1 legal framework (cyber wetgeving), welke actief is voor essentiële bedrijven zoals water- en telecombedrijven.
Met de NIS 2 worden de cyber security eisen verhoogd door heel Europa en wordt de definitie voor bedrijven die essentiële diensten leveren uitgebreid. De NIS 2 Directive gaat dus voor veel meer bedrijven gelden dan de NIS1.

Welke specifieke wijzigingen brengt NIS2 met zich mee (NIS vs NIS2)?

De NIS2 Directive brengt een aantal specifieke wijzigingen met zich mee voor organisaties die vallen onder de scope van de richtlijn. Hieronder staan enkele belangrijke veranderingen:

  • Uitbreiding van de scope: de NIS2 Directive geldt nu voor een breder scala aan organisaties, inclusief digitale dienstverleners zoals cloud providers, internet of things (IoT) dienstverleners en online marktplaatsen.
  • Verhoogde verantwoordelijkheden: organisaties zijn nu verplicht om specifieke maatregelen te nemen om hun netwerken en informatiesystemen te beschermen tegen cyberbedreigingen. Ze zijn ook verplicht om incidenten te melden en te delen met de bevoegde autoriteiten.
  • Meer gericht op preventie: de richtlijn richt zich nu meer op preventie van incidenten, in plaats van alleen maar te reageren op incidenten die zich voordoen.
  • Versterking van de samenwerking: de richtlijn bevordert nu een betere samenwerking tussen overheden en de privésector in de strijd tegen cyberbedreigingen.
  • Versterking van de regulering: de richtlijn versterkt de regulering door het opleggen van boetes voor organisaties die zich niet houden aan de vereisten van de richtlijn.

Voor wie is de NIS2 wetgeving?

De NIS2 Directive geldt voor organisaties die vallen onder de sectoren "operators of essential services" (OES) en "digital service providers" (DSP).

Operators of Essential Services (OES) zijn organisaties die een belangrijke rol spelen in de samenleving en wiens activiteiten een grote impact zouden hebben als ze zouden worden gestoord door een incident. Dit kan bijvoorbeeld zijn:

  • Energiebedrijven
  • Transportbedrijven
  • Waterbedrijven
  • Financiële dienstverleners
  • Gezondheidszorgbedrijven

Digital Service Providers (DSP) zijn organisaties die digitale diensten aanbieden aan eindgebruikers, zoals:

  • Cloud computing diensten
  • Online marktplaatsen
  • Search engines
  • Sociale media platforms
  • Communicatieplatforms (zoals instant messaging)

Organisaties die vallen onder deze categorieën, zijn verplicht om specifieke maatregelen te nemen om hun netwerken en informatiesystemen te beschermen tegen cyberbedreigingen. Ook zijn zij verplicht om incidenten te melden en te delen met de bevoegde autoriteiten.

Wat zijn de exacte maatregelen die ondernemingen moeten treffen?

De NIS2-richtlijn geeft geen specifieke technische maatregelen die organisaties moeten treffen om hun netwerken en informatiesystemen te beschermen tegen cyberbedreigingen. In plaats daarvan stelt de richtlijn dat organisaties zich moeten houden aan "state of the art" beveiligingsmaatregelen en "business continuity management" om hun netwerken en informatiesystemen te beschermen.

De specifieke maatregelen die organisaties moeten nemen, zullen afhangen van de grootte, de complexiteit en de kritische functie van de organisatie en de specifieke risico's die zij ondervinden.

Een aantal algemene beveiligingsmaatregelen die organisaties kunnen overwegen om NIS2 compliance te realiseren zijn:

Het is belangrijk om te benadrukken dat deze maatregelen niet alleen technisch van aard zijn, maar ook organisatorisch en menselijk. Het is van groot belang dat er een beveiligingsbeleid is, dat de organisatie zich aan de beveiligingsmaatregelen houdt en dat er regelmatig geëvalueerd wordt of de maatregelen effectief zijn en of er aanpassingen nodig zijn.

Hoe hoog zijn de boetes voor overtreding van NIS2?

De hoogte van de boetes die kunnen worden opgelegd voor het overtreden van de NIS2 Directive, hangt af van de specifieke omstandigheden van de overtreding en de ernst ervan. De richtlijn geeft echter aan dat boetes in ieder geval kunnen oplopen tot maximaal €10 miljoen of 2% van de wereldwijde jaaromzet van de overtredende organisatie, afhankelijk van welk bedrag hoger is. Dit geldt voor elke overtreding van de regelgeving.

Houd er wel rekening mee dat de boetes kunnen variëren van land tot land, aangezien de implementatie van de richtlijn aan de lidstaten is overgelaten. In sommige landen zijn de boetes hoger dan €10 miljoen of 2% van de wereldwijde jaaromzet, in andere landen lager. Daarnaast kan de lidstaat ook andere sancties toepassen zoals waarschuwingen, of het opleggen van specifieke verplichtingen.

Geldt NIS2 ook voor de leveranciers van de bedrijven die onder de wetgeving vallen?

De NIS2 Directive geldt niet alleen voor organisaties die vallen onder de categorieën "operators of essential services" (OES) en "digital service providers" (DSP), maar ook voor hun leveranciers. Dit betekent dat organisaties die geen essentiële dienstverlening aanbieden, maar wel leveren aan organisaties die wel onder de wetgeving vallen, ook verplicht zijn om specifieke maatregelen te nemen om hun netwerken en informatiesystemen te beschermen tegen cyberbedreigingen.

De NIS2 geeft aan dat organisaties die geen essentiële dienstverlening aanbieden, maar wel leveranciers zijn van producten en diensten aan organisaties die wel onder de wetgeving vallen, ook verplicht zijn om specifieke maatregelen te nemen om hun netwerken en informatiesystemen te beschermen tegen cyberbedreigingen (en dit moeten kunnen aantonen door bijvoorbeelid ISO 27001 certificering).

Zijn de NIS2 requirements ook geschikt voor organisaties die niet onder de wetgeving vallen?

De NIS2 Directive stelt specifieke vereisten voor organisaties die essentiele diensten leveren. Hoewel deze vereisten specifiek zijn gericht op organisaties die onder de wetgeving vallen, kunnen ze ook nuttig zijn voor organisaties die niet onder de wetgeving vallen.

Het implementeren van de bedoelde maatregelen kan ook voor organisaties die geen essentiële dienstverlening aanbieden, maar wel hun netwerken en informatiesystemen willen beschermen tegen cyberbedreigingen, een goede manier zijn om hun beveiliging te versterken. De maatregelen zijn namelijk gebaseerd op de laatste beveiligingsnormen en industriepraktijken en kunnen dus ook als een goede referentie worden gebruikt voor organisaties die niet onder de wetgeving vallen.

Zo zijn organisatorische maatregelen als:

eigenlijk essentieel voor elke organisatie, bijvoorbeeld ook het MKB, een goed doel, of een ander soort stichting of vereniging.

Vanaf wanneer zijn bedrijven verplicht zich te houden aan NIS2?

De NIS2 Directive is op 9 mei 2018 aangenomen door de Europese Unie en de lidstaten hadden tot 9 november 2018 de tijd om de richtlijn in nationaal recht om te zetten. Bedrijven zijn sindsdien verplicht zich te houden aan de eisen van de NIS2 Directive.

Houd er wel rekening mee dat de implementatie van de richtlijn aan de lidstaten is overgelaten, waardoor de precieze datum waarop bedrijven verplicht zijn zich te houden aan de NIS2 Directive kan variëren per land.

Bedrijven die vallen onder de scope van de richtlijn, zoals Operators of Essential Services (OES) en Digital Service Providers (DSP), dienen te voldoen aan de verplichtingen zoals opgelegd door de nationale wetgeving en bevoegde autoriteiten die gebaseerd zijn op NIS2 Directive. Bedrijven zouden dus zeker hun nationale wetgeving moeten checken en zich hieraan moeten houden.

In Nederland zijn organisaties verplicht zich te houden aan de NIS2 wetgeving vanaf 2023.

NIS2 download

Download hier de NIS2 Directive PDF (NL)