NIS2-richtlijn

NIS2: waar staat jouw organisatie?

Op 16 januari 2023 trad de NIS2-richtlijn in werking, gericht op het waarborgen en verhogen van de informatiebeveiliging en cybersecurity bij verschillende publieke en private organisaties. De deadline voor de implementatie van de NIS2 in nationale wetgeving is 17 oktober 2024. Maar de overheid heeft aangekondigd dat zij de deadline voor de invoering van de nationale wet niet zullen halen. Het hele traject wordt naar verwachting tegen het einde van het jaar afgerond, met de wet die begin 2025 van kracht wordt.

Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.

Meld je aan voor de nieuwsbrief

Meer leren over Cybersecurity en de NIS2?

De opleiding tot Certified Cybersecurity Compliance Officer geeft je inzicht in de actuele wet- en regelgeving op het gebied van cybersecurity, waarbij je leert hoe je jouw organisatie kunt helpen om daaraan te voldoen.

Meer informatie
ICTRECHT Illustratie werkoverleg - Paars RGB

Download onze cheat sheet

Onze handige cheat sheet geeft je binnen een minuut alle essentiële informatie over de NIS2. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.

Download
Nis2 cheatsheet cover highres  (1)

Wat is de NIS2? 

De NIS2-richtlijn, oftewel de Network and Information Security directive ziet voornamelijk toe op het verbeteren van de digitale weerbaarheid van Europese lidstaten en moet leiden tot een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.

De voorloper van NIS 2 is in Nederland in 2016 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds “NIS” gebruikt (en de afkorting is dus NIS 2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Systems. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. De vraag is of “NIS” de lading wel voldoende dekt, maar dat terzijde. In de kern gaat het om het verhogen van het niveau van informatiebeveiliging en cybersecurity.

Naast een focus op de cybersecurity van publieke en private organisaties ziet NIS 2 ook op een verbetering van de samenwerking tussen nationale overheden van EU-lidstaten. Onder andere door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden.

Door de verdere digitalisering en de (grensoverschrijdende) onderlinge verbondenheid is het cyberdreigingslandschap verder uitgebreid. Dit brengt nieuwe uitdagingen met zich mee en vraagt om aanvullende en breder toegepaste maatregelen. NIS 2 ziet hierop en probeert dit te bereiken door middel van implementatie in nationale wetgeving.

Lees meerLees minder

Voor welke sectoren gelden de regels? 

Het aantal organisaties dat onder NIS 2 valt is toegenomen. Het gaat, onder meer, om organisaties die actief zijn in de sectoren zoals genoemd in bijlage I en II van NIS 2. Bekijk de organisaties in deze tabel: 

(Zeer kritieke sectoren)

(Andere kritieke sectoren)

Energie

Post- en koeriersdiensten

Vervoer

Afvalstoffenbeheer

Bankwezen

Vervaardiging, productie en distributie van chemische stoffen

Infrastructuur voor de financiële markt

Productie, verwerking en distributie van levensmiddelen

Gezondheidszorg

Vervaardiging

Drinkwater

Digitale aanbieders

Afvalwater

Onderzoek

Digitale infrastructuur

 

Beheer van ICT-diensten (business-to-business)

 

Overheid

 

Ruimtevaart

 

Lees meerLees minder

Toepassingsgebied

Naast de specifieke sectoren, moet een organisatie gekenmerkt worden als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:

Essentiële entiteit

  • Actief in een sector genoemd in bijlage I van NIS 2 en
  • een “grote” organisatie: 250 personen of meer of een jaaromzet van meer dan EUR 50 miljoen en een balanstotaal boven EUR 43 miljoen

Belangrijke entiteit

  •  Actief in een sector genoemd in bijlage I van NIS 2 en
  • een “middelgrote” organisatie: 50 - 249 personen met een jaaromzet van EUR 10 - 50 miljoen of een balanstotaal van EUR 10 - 43 miljoen 

of

  • Actief in een sector genoemd in bijlage II van NIS 2 en
  • een grote of middelgrote organisatie op basis van bovengenoemde criteria

Er zijn een aantal uitzonderingen waarvoor de omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.

Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Deze vorm van toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden. Bij belangrijke entiteiten geldt een lichter regime waarbij er sprake is van toezicht achteraf of als er indicaties zijn van non-compliance met NIS 2 of bijvoorbeeld bij incidenten.

Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt door een ministerie, waardoor NIS 2 dus wel van toepassing wordt.

Lees meerLees minder

Cybersecuritymaatregelen

NIS 2 schrijft voor dat er maatregelen genomen moeten worden voor het beheren van cyberbeveiligingsrisico’s. 

Dit kan risico-gebaseerd, waarbij er rekening gehouden kan worden met de stand van de techniek en de uitvoeringskosten. NIS 2 bevat maatregelen die minimaal geïmplementeerd moeten worden.

Onder andere de volgende maatregelen worden genoemd in NIS 2:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit;
  • beveiliging van de toeleveranciersketen;
  • cyberhygiëne en training op het gebied van cybersecurity;
  • toegangsbeleid;
  • multifactor-authenticatie (wanneer gepast).

Naast bovengenoemde selectie staan er in NIS 2 nog meer maatregelen die minimaal genomen moeten worden (bovenstaande selectie is ter indicatie). 

NIS 2 heeft ook gevolgen voor de governance van organisaties en zal er vermoedelijk toe leiden dat het bestuur van organisaties meer betrokken wordt bij cyberveiligheid en hiervoor ook verantwoordelijk gehouden wordt. Lees hier meer over in deze blog. 

Lees meerLees minder

Hoe kunnen wij jou hiermee helpen?

Analyse en implementatie

Wij kunnen adviseren of de NIS2 op jouw organisatie van toepassing is. Als de NIS2 van toepassing is kunnen we jou ondersteunen met een nulmeting en gapanalyse. Hulp nodig bij het opstellen of aanpassen van beleidsdocumenten of andere onderdelen van de implementatie? Wij helpen je bij iedere stap in de fase van analyse en implementatie, zodat jouw organisatie de NIS2 voor 18 oktober 2024 geïmplementeerd heeft. 

Risicoanalyse

Een belangrijk onderdeel van de NIS2 is het uitvoeren van een risicoanalyse. Hulp nodig bij het opstellen hiervan? Wij helpen je graag!

Neem contact met ons op

Tabletop

Heb je een incidentmanagementproces of BCP opgesteld dan is het belangrijk dat deze ook getest wordt. Dit kan door middel van een Tabletop oefening. Hulp hierbij nodig? Onze collega’s begeleiden jou graag bij de uitvoering hiervan. Naderhand krijg je een rapportage met daarin tips en tricks om het proces te verbeteren.

Inhouse training

Heeft iedereen de juiste kennis over de NIS2 binnen jouw organisatie? Met onze inhouse training zorg je ervoor dat iedereen dezelfde kennis over de NIS2 heeft. Van bestuurder, Information Security Officer tot ICT-medewerker. Iedereen is welkom!

Blijf op de hoogte 

Wil je op de hoogte blijven van de ontwikkelingen op het gebied van de NIS2? Schrijf je dan in voor onze nieuwsbrief. Neem direct contact met ons op voor specifieke vragen. 

ICTRECHT Illustratie assignment - Petrol RGB Langer

Nieuwsbrief

Laat je e-mailadres achter en meld je direct aan

Ondersteuning op maat

ICTRecht kan jou op verschillende manieren ondersteunen. Van een knipkaart bij periodieke ondersteuning tot een abonnement voor een vaste juridische partner op afstand. Zo kun je altijd de ondersteuning vinden die aansluit bij jouw behoeften. 

Meer informatie
ICTRECHT Illustratie advies - Oker RGB Langer

Waarom ICTRecht?

ICTRECHT iconen petrol 2022 RGB_Flexibel en maatwerk

Juridische kracht én technische slimheid
Technologische ontwikkelingen gaan snel en lijken soms onoverzichtelijk. Daarom willen wij precies weten hoe het zit: niet alleen wat wet- en regelgeving betreft, maar ook technisch. Juist die combinatie stelt ons in staat om jou verder te helpen. 

ICTRECHT iconen petrol 2022 RGB_Jarenlange ervaring

20 Jaar deskundigheid
Al 20 jaar volgen wij op de voet hoe technologie zich ontwikkelt en hoe wet- en regelgeving daarbij aansluit. Maar vooral onze praktijkervaring is van grote waarde: we kennen de knelpunten en weten hoe je ermee om kunt gaan.

ICTRECHT iconen petrol 2022 RGB_Heldere taal uitgelegd

Doelgericht en no-nonsense
Van ons geen omvangrijke rapporten, maar duidelijke oplossingen waarmee je direct aan de slag kunt. We zorgen dat je precies weet wat je nodig hebt, zonder het nodeloos ingewikkeld te maken.

 

ICTRECHT iconen petrol 2022 RGB_Legal tech

Continu in beweging
We denken en bewegen mee met jou en jouw dagelijkse praktijk. Voor nieuwe uitdagingen vinden we nieuwe oplossingen. En we zoeken continu naar manieren om onze dienstverlening nog beter en effectiever te maken.

Contact

Laat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.

Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.

 

Laat je gegevens achter