In de afgelopen jaren hebben we gezien dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten, zoals COVID-19, cyberdreigingen en klimaatverandering. In reactie hierop heeft de Europese Unie sinds 2020 gewerkt aan de Network and Information Security (NIS2) richtlijn. Deze richtlijn is gericht op het verbeteren van de digitale weerbaarheid van Europese lidstaten.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn richt zich op risico's die netwerk- en informatiesystemen bedreigen, waaronder cyberbeveiligingsrisico's. Het doel van de richtlijn is om meer Europese harmonisatie te bereiken en een hoger niveau van cybersecurity te bevorderen bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook bekend als NIB (Netwerk- en Informatiebeveiliging), die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Wat betekent de NIS2-richtlijn voor jouw organisatie?

De Europese lidstaten hebben tot eind 2024 de tijd om de NIS2-richtlijn op te nemen in hun nationale wetgeving. Dit betekent dat zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen aan de verplichtingen van de richtlijn. Hieronder staan de belangrijkste verplichtingen van de NIS2-richtlijn en de sectoren waarop ze van toepassing zullen zijn, zodat organisaties een beeld kunnen vormen van de mogelijke verplichtingen waaraan ze eind 2024 moeten voldoen.

Sectoren die onder de NIS2-richtlijn vallen

Bijlage 1 Sectoren:

• Energie

• Transport

• Bankwezen

• Infrastructuur

• Gezondheidszorg

• Drinkwater

• Digitale infrastructuur

• Beheerders van ICT-diensten

• Afvalwater

• Overheidsdiensten

• Ruimtevaart

Bijlage 2 Sectoren:

• Beheer van ICT-diensten

• Digitale aanbieders

• Post- en koeriersdiensten

• Afvalstoffenbeheer

• Levensmiddelen

• Chemische stoffen

• Onderzoek

• Vervaardiging / manufacturing

• Essentiële en belangrijke entiteiten

Het belangrijkste verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als ze actief zijn in een van de bovenstaande sectoren en voldoen aan de criteria voor "essentiële" of "belangrijke" entiteiten.

Essentiële entiteiten:

• Grote organisaties in de sectoren van Bijlage 1

• Criteria: 250+ werknemers óf een jaaromzet van €50 miljoen+ en een balanstotaal van €43 miljoen+

Belangrijke entiteiten:

• Middelgrote organisaties in de sectoren van Bijlage 1 en middelgrote/grote organisaties in Bijlage 2

• Criteria: 50+ werknemers óf een jaaromzet en balanstotaal van €10 miljoen+

Essentiële entiteiten worden intensiever gecontroleerd, zowel vooraf als achteraf, vanwege hun grote impact op de economie en samenleving. Belangrijke entiteiten krijgen een lichtere vorm van toezicht, voornamelijk achteraf, bijvoorbeeld als er vermoedens zijn van non-compliance of na incidenten.

Geldt de NIS2-richtlijn ook voor het MKB?

Over het algemeen vallen micro- en kleine bedrijven niet onder de NIS2-richtlijn. Maar de minister die verantwoordelijk is voor een bepaalde sector kan een micro- of klein bedrijf wel aanwijzen op basis van een risicobeoordeling, bijvoorbeeld als hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Sommige micro- en kleine bedrijven vallen echter wel automatisch onder de NIS2-richtlijn als ze actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten, of als aanbieder van openbare elektronische-communicatienetwerken of -diensten. Bovendien vallen overheidsinstanties binnen de genoemde sectoren ook automatisch onder de NIS2-richtlijn.

Verplichtingen voorgeschreven door de NIS2-richtlijn:

1. Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om de continuïteit van hun diensten te waarborgen en informatie te beschermen.

2. Meldplicht: Incidenten die de verlening van essentiële diensten aanzienlijk verstoren, moeten binnen 24 uur worden gemeld aan de toezichthouder. Bij een cyberincident moet dit ook worden gemeld aan het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand biedt. Meldingswaardige factoren zijn onder meer het aantal getroffen personen, de duur van de verstoring, en mogelijke financiële verliezen.

3. Toezicht: Organisaties onder de richtlijn worden ook onder toezicht gesteld om te zorgen voor naleving van de verplichtingen, zoals de zorg- en meldplicht. De specifieke sectoren onder elk toezichthoudend orgaan worden nog bepaald.

Ondersteuning vanuit de overheid

De NIS2-richtlijn verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen bij het verbeteren van hun digitale weerbaarheid tegen risico's. De overheid zal essentiële en belangrijke entiteiten bijstaan met advies en bijstand, onder andere door middel van een CSIRT. Verder kan de ondersteuning bestaan uit informatie-uitwisseling, richtlijnen en instrumenten om de weerbaarheid te verhogen, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Voorbereiding van jouw organisatie

Vooruitlopend op de komst van nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun verplichtingen door maatregelen te nemen om de veiligheid en weerbaarheid van hun processen en diensten te verbeteren. Het Digital Trust Center biedt houvast met de 5 basisprincipes van veilig digitaal ondernemen en tools om bescherming te bieden tegen cyberaanvallen. Overwegingen om op te focussen zijn onder andere:

• Het uitvoeren van risicoanalyses.

• Het opstellen van bedrijfscontinuïteitsplannen en protocollen voor crisisbeheersing.

• Het identificeren van alternatieve toeleveringsketens.

• Het vergroten van het bewustzijn van medewerkers over risico's en te nemen maatregelen.

• Het reserveren van budget en capaciteit om aan de richtlijn te voldoen.

Conclusie

De NIS2-richtlijn heeft tot doel de digitale weerbaarheid van Europese lidstaten te versterken door cybersecurityrisico's in verschillende sectoren aan te pakken. Voor jouw organisatie is het essentieel om te bepalen of je onder de reikwijdte van de richtlijn valt en, indien van toepassing, de nodige maatregelen te nemen om te voldoen aan de zorg- en meldplicht. Door proactief voor te bereiden op de NIS2-richtlijn kan jouw organisatie een verbeterde cybersecurity en weerbaarheid garanderen tegen digitale bedreigingen.

Let op dat de NIS2-richtlijn een complex en zich ontwikkelend regelgevend kader is. Organisaties dienen officiële updates en communicatie van relevante autoriteiten te volgen om op de hoogte te blijven en ervoor te zorgen dat ze nauwkeurig voldoen aan de richtlijn.