Uitleg over NIS2
NIS2 staat voor Network and Information Systems Directive 2. Het is een Europese richtlijn die bepaalt welke cybersecuritymaatregelen organisaties moeten nemen om hun netwerken en informatie te beschermen. Het doel van NIS2 is om de veerkracht van de Europese digitale economie te vergroten en cyberaanvallen te voorkomen.
NIS2 wettelijk verplicht in Nederland
De wet is voorlopig goedgekeurd en wordt na verdere uitwerking opgenomen in de Nederlandse wetgeving. Dit houdt in dat vanaf dat moment organisaties de NIS2-richtlijnen moeten gaan volgen. De urgentie van NIS2 is hoog, omdat cyberaanvallen steeds geavanceerder worden en steeds meer schade veroorzaken. Wanneer je niet voldoet aan de eisen van NIS2, dan loop je het risico op hoge boetes en reputatieschade. Daarnaast kun je verantwoordelijk worden gesteld voor eventuele schade die voortkomt uit een cyberaanval.
NIS2 is daarom niet alleen belangrijk voor de cybersecurity van individuele organisaties, maar ook voor de stabiliteit en veiligheid van de Europese digitale economie als geheel. Het is essentieel dat organisaties zich bewust zijn van de vereisten van NIS2 en de nodige maatregelen nemen om hun netwerken en informatie te beschermen tegen cyberaanvallen.
Welke organisaties moeten voldoen aan NIS2-richtlijn?
Er zijn twee categorieën bepaald in het kader van NIS2 en die worden omschreven als Essentieel en Belangrijk. Behoort jouw organisatie tot een van deze twee categorieën, dan moet je aan de NIS2-richtlijn voldoen. Behoor je niet tot één van deze twee, dan ben je niet verplicht hieraan te voldoen, al adviseren we het je wel.
1. Essentieel
- Dit zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn.
- Een organisatie is groot op basis van de volgende criteria:
- Meer dan 250 werknemers of;
- Een netto omzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.
2. Belangrijk
- Dit zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en organisaties die actief zijn in een sector uit bijlage II.
- Een organisatie is middelgroot op basis van de volgende criteria:
- 50 of meer werknemers of;
- Een jaaromzet of balanstotaal van € 10 miljoen of meer.
Wat is het verschil tussen Essentieel en Belangrijk?
Bij essentiële organisaties, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. Dit betekent dat bij deze organisaties actief gecheckt wordt of de wetgeving wordt nageleefd.
Bij belangrijke organisaties vindt het toezicht achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident. Mocht na een incident blijken dat de organisatie niet de vereiste stappen heeft genomen, dan kunnen ook deze organisaties te maken krijgen met mogelijke consequenties van het niet naleven van deze wetgeving.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
- Zorgplicht: de richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht: de richtlijn schrijft voor dat organisaties incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Impact en boetes
Naar verwachten kunnen organisaties waarvan blijkt dat zij de wetgeving niet volgen, te maken krijgen met onder andere boetes en schorsingen. Zoals het er nu naar uit ziet, kunnen er boetes uitgedeeld worden van maximaal € 10 miljoen euro of 2% van de totale wereldwijde jaaromzet – afhankelijk van welke hoger is. Personen met een relevante autoriteit of managementrol kunnen persoonlijk verantwoordelijk gehouden worden. Op deze manier worden organisaties aangespoord om de benodigde stappen te zetten en te investeren in weerbaarheid tegen digitale dreigingen en andere risico’s die impact kunnen hebben op hun netwerk en informatiesystemen.
Check of jouw organisatie aan de NIS2-richtlijn moet voldoen
Wil je weten of je organisatie aan de NIS2-richtlijn moet voldoen? Doe dan direct de gratis check. Voor vragen over NIS2 verwijzen wij je naar onze FAQ. Staat jouw vraag er niet bij of wil je hulp bij de implementatie van cybersecuritymaatregelen om te voldoen aan NIS2? Neem contact met ons op.
Op https://www.digitaltrustcenter.nl/nis2/startpunt vind je veel nuttige informatie terug met betrekking tot NIS2.