In 2016 trad de eerste Network and Information Security directive (NIS) in werking, met als doel de digitale weerbaarheid in de Europese Unie (EU) te verbeteren. Door de snelle digitale transformatie is er nu toegewerkt naar een nieuwe richtlijn, de NIS2. Deze ontwikkeling markeert een cruciale stap in de versterking van de digitale weerbaarheid van de lidstaten in de EU. Deze richtlijn breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te omvatten, waardoor een breder spectrum aan entiteiten verantwoordelijk is voor het handhaven van een hoog cybersecurityniveau. Met een focus op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, streeft NIS2 naar Europese harmonisatie en een verhoogd niveau van cyberbeveiliging. Het is een antwoord op de groeiende cyberdreigingen en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, en benadrukt het belang van proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken.
De bepalingen uit de NIS2-richtlijn worden omgezet in nationale wetgeving. In Nederland wordt de vertaalslag gemaakt in de Cyberbeveiligingswet (Cbw). Net als de overheid adviseren wij om niet af te wachten tot deze wetgeving er is, maar alvast voorbereidingen te treffen. De risico’s op het gebied van informatiebeveiliging wachten ten slotte niet tot wet- en regelgeving gereed is. Sta jij aan het roer van een veilige en verantwoorde beveiliging? Dan is het nu tijd om alvast actie te ondernemen en je voor te bereiden op de NIS2.
Organisaties die belangrijk of essentieel zijn voor het functioneren van de maatschappij of economie vallen onder de NIS2-richtlijn en krijgen te maken met vier verplichtingen, namelijk:
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:
Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.
Het voldoen aan de NIS2-richtlijn zorgt ervoor dat de digitale weerbaarheid binnen jouw organisatie naar een hoger niveau wordt getild. Ondanks dat de nationale wetgeving nog niet gereed is, raden wij je aan om alvast aan de slag te gaan met de verplichtingen uit de NIS2. Heeft jouw organisatie onvoldoende middelen en/of expertise in huis om deze richtlijn te implementeren? Dan staan onze professionals voor je klaar! We kunnen onder andere ondersteunen op de volgende gebieden met betrekking tot de NIS2:
We zetten de meest gestelde vragen over NIS2 voor je op een rijtje.
De lidstaten van de Europese Unie dienen de NIS2-richtlijn uiterlijk 17 oktober om te zetten in Nederlandse wetgeving. In Nederland wordt deze vertaalslag gemaakt in de Wet beveiliging netwerk en informatiesystemen (Wbni). Echter, in een kamerbrief van 25 januari 2024 heeft Dilan Yesilgöz (Minister van Jusitie en Veiligheid) laten weten dat het omzetten van de richtlijn in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. De deadline van 17 oktober gaat dan ook niet gehaald worden. De naleving van deze nieuwe richtlijn zal voorlopig nog niet afdwingbaar zijn in Nederland.
In principe vallen micro- en kleinbedrijven niet onder de NIS2-richtlijn. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Tot slot kan het ook voorkomen dat je niet direct aan de NIS2-richtlijn hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.
Een organisatie die onder de NIS2-richtlijn valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:
In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de NIS2-richtlijn vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.
Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de NIS2-richtlijn. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de NIS2. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.
Benieuwd hoe de maatregelen van NIS2 verschillen van andere normenkaders voor informatiebeveiliging? Lees dan ons driedelige blogserie: