Op 16 januari 2023 trad de NIS2-richtlijn in werking, gericht op het waarborgen en verhogen van de informatiebeveiliging en cybersecurity bij verschillende publieke en private organisaties. De deadline voor de implementatie van de NIS2 in nationale wetgeving is 17 oktober 2024. Maar de overheid heeft aangekondigd dat zij de deadline voor de invoering van de nationale wet niet zullen halen. Het hele traject wordt naar verwachting tegen het einde van het jaar afgerond, met de wet die begin 2025 van kracht wordt.
Weet jij al of de NIS2 op jouw organisatie van toepassing is? Moet jij de NIS2 nog implementeren of wil jij weten wat er nog moet gebeuren? Wij helpen jou graag om hiermee aan de slag te gaan.
De opleiding tot Certified Cybersecurity Compliance Officer geeft je inzicht in de actuele wet- en regelgeving op het gebied van cybersecurity, waarbij je leert hoe je jouw organisatie kunt helpen om daaraan te voldoen.
Onze handige cheat sheet geeft je binnen een minuut alle essentiële informatie over de NIS2. Het biedt een beknopt overzicht van belangrijke deadlines en maatregelen die nodig zijn om aan deze richtlijn te voldoen.
DownloadDe NIS2-richtlijn, oftewel de Network and Information Security directive ziet voornamelijk toe op het verbeteren van de digitale weerbaarheid van Europese lidstaten en moet leiden tot een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.
De voorloper van NIS 2 is in Nederland in 2016 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), deze eerdere richtlijn stond bekend als de NIS- of NIB-richtlijn. Als er verwezen wordt naar de nieuwe richtlijn, dan wordt vaak nog steeds “NIS” gebruikt (en de afkorting is dus NIS 2). In de titel van de nieuwe richtlijn staat echter geen specifieke verwijzing meer naar Network and Information Systems. In de Nederlandse vertaling staat nu: “maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging”. De vraag is of “NIS” de lading wel voldoende dekt, maar dat terzijde. In de kern gaat het om het verhogen van het niveau van informatiebeveiliging en cybersecurity.
Naast een focus op de cybersecurity van publieke en private organisaties ziet NIS 2 ook op een verbetering van de samenwerking tussen nationale overheden van EU-lidstaten. Onder andere door het opzetten of verbeteren van samenwerkingsprogramma’s en het uitwisselen van kwetsbaarheden.
Door de verdere digitalisering en de (grensoverschrijdende) onderlinge verbondenheid is het cyberdreigingslandschap verder uitgebreid. Dit brengt nieuwe uitdagingen met zich mee en vraagt om aanvullende en breder toegepaste maatregelen. NIS 2 ziet hierop en probeert dit te bereiken door middel van implementatie in nationale wetgeving.
Het aantal organisaties dat onder NIS 2 valt is toegenomen. Het gaat, onder meer, om organisaties die actief zijn in de sectoren zoals genoemd in bijlage I en II van NIS 2. Bekijk de organisaties in deze tabel:
(Zeer kritieke sectoren) |
(Andere kritieke sectoren) |
Energie |
Post- en koeriersdiensten |
Vervoer |
Afvalstoffenbeheer |
Bankwezen |
Vervaardiging, productie en distributie van chemische stoffen |
Infrastructuur voor de financiële markt |
Productie, verwerking en distributie van levensmiddelen |
Gezondheidszorg |
Vervaardiging |
Drinkwater |
Digitale aanbieders |
Afvalwater |
Onderzoek |
Digitale infrastructuur |
|
Beheer van ICT-diensten (business-to-business) |
|
Overheid |
|
Ruimtevaart |
|
Naast de specifieke sectoren, moet een organisatie gekenmerkt worden als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:
Essentiële entiteit
Belangrijke entiteit
of
Er zijn een aantal uitzonderingen waarvoor de omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.
Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Deze vorm van toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden. Bij belangrijke entiteiten geldt een lichter regime waarbij er sprake is van toezicht achteraf of als er indicaties zijn van non-compliance met NIS 2 of bijvoorbeeld bij incidenten.
Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt door een ministerie, waardoor NIS 2 dus wel van toepassing wordt.
NIS 2 schrijft voor dat er maatregelen genomen moeten worden voor het beheren van cyberbeveiligingsrisico’s.
Dit kan risico-gebaseerd, waarbij er rekening gehouden kan worden met de stand van de techniek en de uitvoeringskosten. NIS 2 bevat maatregelen die minimaal geïmplementeerd moeten worden.
Onder andere de volgende maatregelen worden genoemd in NIS 2:
Naast bovengenoemde selectie staan er in NIS 2 nog meer maatregelen die minimaal genomen moeten worden (bovenstaande selectie is ter indicatie).
NIS 2 heeft ook gevolgen voor de governance van organisaties en zal er vermoedelijk toe leiden dat het bestuur van organisaties meer betrokken wordt bij cyberveiligheid en hiervoor ook verantwoordelijk gehouden wordt. Lees hier meer over in deze blog.
Wij kunnen adviseren of de NIS2 op jouw organisatie van toepassing is. Als de NIS2 van toepassing is kunnen we jou ondersteunen met een nulmeting en gapanalyse.
Wij helpen je bij iedere stap in de fase van analyse en implementatie, zodat jouw organisatie de NIS2 voor 18 oktober 2024 geïmplementeerd heeft.
Heb je een incidentmanagementproces of BCP opgesteld dan is het belangrijk dat deze ook getest wordt. Dit kan door middel van een Tabletop oefening.
Onze collega’s begeleiden jou graag bij de uitvoering hiervan. Naderhand krijg je een rapportage met daarin tips en tricks om het proces te verbeteren.
Heeft iedereen de juiste kennis over de NIS2 binnen jouw organisatie? Met onze inhouse training zorg je ervoor dat iedereen dezelfde kennis over de NIS2 heeft.
Van bestuurder, Information Security Officer tot ICT-medewerker. Iedereen is welkom!
Wil je op de hoogte blijven van de ontwikkelingen op het gebied van de NIS2? Schrijf je dan in voor onze nieuwsbrief. Neem direct contact met ons op voor specifieke vragen.
Juridische kracht én technische slimheid
Technologische ontwikkelingen gaan snel en lijken soms onoverzichtelijk.
Daarom willen wij precies weten hoe het zit: niet alleen wat wet- en regelgeving betreft, maar ook technisch. Juist die combinatie stelt ons in staat om jou verder te helpen.
Van ons geen omvangrijke rapporten, maar duidelijke oplossingen waarmee je direct aan de slag kunt.
We zorgen dat je precies weet wat je nodig hebt, zonder het nodeloos ingewikkeld te maken.
Al 20 jaar volgen wij op de voet hoe technologie zich ontwikkelt en hoe wet- en regelgeving daarbij aansluit.
Maar vooral onze praktijkervaring is van grote waarde: we kennen de knelpunten en weten hoe je ermee om kunt gaan.
We denken en bewegen mee met jou en jouw dagelijkse praktijk. Voor nieuwe uitdagingen vinden we nieuwe oplossingen.
En we zoeken continu naar manieren om onze dienstverlening nog beter en effectiever te maken.
ICTRecht kan jou op verschillende manieren ondersteunen. Van een knipkaart bij periodieke ondersteuning tot een abonnement voor een vaste juridische partner op afstand. Zo kun je altijd de ondersteuning vinden die aansluit bij jouw behoeften.
Meer informatieLaat een bericht achter via het formulier voor meer informatie. Een van onze juridisch adviseurs neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.