Eenvoudig en snel contact opnemen? T 0318-762620 E info@masero.nl

Uitleg over NIS2

NIS2 staat voor Network and Information Systems Directive 2. Het is een Europese richtlijn die bepaalt welke cybersecuritymaatregelen organisaties moeten nemen om hun netwerken en informatie te beschermen. Het doel van NIS2 is om de veerkracht van de Europese digitale economie te vergroten en cyberaanvallen te voorkomen.

NIS2 wettelijk verplicht in Nederland

De wet is voorlopig goedgekeurd en wordt medio 2024 opgenomen in de Nederlandse wetgeving. Dit houdt in dat vanaf dat moment organisaties de NIS2-richtlijnen moeten gaan volgen. De urgentie van NIS2 is hoog, omdat cyberaanvallen steeds geavanceerder worden en steeds meer schade veroorzaken. Wanneer u niet voldoet aan de eisen van NIS2, dan loopt u het risico op hoge boetes en reputatieschade. Daarnaast kunt u verantwoordelijk worden gesteld voor eventuele schade die voortkomt uit een cyberaanval.

NIS2 is daarom niet alleen belangrijk voor de cybersecurity van individuele organisaties, maar ook voor de stabiliteit en veiligheid van de Europese digitale economie als geheel. Het is essentieel dat organisaties zich bewust zijn van de vereisten van NIS2 en de nodige maatregelen nemen om hun netwerken en informatie te beschermen tegen cyberaanvallen.

Welke organisaties moeten voldoen aan NIS2-richtlijn?

Er zijn drie categorieën gemaakt, waar u als organisatie onder kunt vallen:

  1. Essentieel
  2. Belangrijk
  3. Overig

Wanneer u tot Essentieel of Belangrijk behoort, dan moet u aan de NIS2-richtlijn voldoen. Behoort u als organisatie niet tot één van deze twee, dan valt u onder Overig. U heeft dan niet de verplichting om te voldoen aan de NIS2-richtlijnen, maar wij adviseren het wel.

1. Essentieel

  • Dit zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn.
  • Een organisatie is groot op basis van de volgende criteria:
    • Meer dan 250 werknemers of;
    • Een netto omzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.

2. Belangrijk

  • Dit zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en organisaties die actief zijn in een sector uit bijlage II.
  • Een organisatie is middelgroot op basis van de volgende criteria:
    • 50 of meer werknemers of;
    • Een jaaromzet of balanstotaal van € 10 miljoen of meer.

Wat is het verschil tussen Essentieel en Belangrijk?

Bij essentiële organisaties, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. Dit betekent dat bij deze organisaties actief gecheckt wordt of de wetgeving wordt nageleefd.

Bij belangrijke organisaties vindt het toezicht achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident. Mocht na een incident blijken dat de organisatie niet de vereiste stappen heeft genomen, dan kunnen ook deze organisaties te maken krijgen met mogelijke consequenties van het niet naleven van deze wetgeving.

Welke verplichtingen schrijft de NIS2-richtlijn voor?

  • Zorgplicht: de richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
  • Meldplicht: de richtlijn schrijft voor dat organisaties incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Impact en boetes

Zoals het er nu naar uit ziet, kunnen organisaties waarvan blijkt dat zij de wetgeving niet volgen, te maken krijgen met onder andere boetes en schorsingen. Zoals het er naar uit ziet, kunnen er boetes uitgedeeld worden van maximaal € 10 miljoen euro of 2% van de totale wereldwijde jaaromzet – afhankelijk van welke hoger is. Personen met een relevante autoriteit of managementrol kunnen persoonlijk verantwoordelijk gehouden worden. Op deze manier worden organisaties aangespoord om de benodigde stappen te zetten en te investeren in weerbaarheid tegen digitale dreigingen en andere risico’s die impact kunnen hebben op hun netwerk en informatiesystemen.

Geldt de NIS2-richtlijn ook voor het MKB?

  • Organisaties uit het midden- en kleinbedrijf vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector, kan er echter wel voor kiezen om een mkb alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.
  • Daarnaast zijn er nog bedrijven uit het mkb die wel onder de NIS2-richtlijn vallen. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen wél automatisch onder de NIS2-richtlijn. Overheidsinstanties uit de bovenstaande sectoren vallen ook automatisch onder NIS2-richtlijn.

Check of uw organisatie aan de NIS2-richtlijn moet voldoen

Wilt u weten of uw organisatie aan de NIS2-richtlijn moet voldoen? Doe dan direct de gratis check. Voor vragen over NIS2 verwijzen wij u naar onze FAQ. Staat uw vraag er niet bij of wilt u hulp bij de implementatie van cybersecuritymaatregelen om te voldoen aan NIS2? Neem contact met ons op.

NIS2
NIS2 Check
FAQ NIS2
Vulnerability Check
De Vulnerability Check is gericht op het identificeren van kwetsbaarheden in de beveiliging van uw systeem of netwerk.
Penetration Test
Met onze Pentest testen we de effectiviteit van de beveiligingsmaatregelen binnen uw organisatie.
Security Awareness
Wat zijn de risico’s als u uw gegevens niet goed beveiligt? We leren u graag hoe uw gegevens optimaal beschermd en beveiligd worden.
Training
Masero Cyber Security biedt diverse trainingsmogelijkheden aan om de digitale weerbaarheid van uw organisatie te vergroten.

Veilig werken

Een veilige omgeving begint bij Masero Cyber Security

Camera's
Lift
Smartphone
Laptop
WiFi
Smart koelkast

Security incident? Bel direct: 0318 762626

Wij staan 24/7 voor u klaar.