Versterk jouw digitale weerbaarheid
NIS2 Wetgeving & Richtlijnen
De NIS2-richtlijn is de EU-brede wetgeving op het gebied van cyberbeveiliging. Deze richtlijn heeft als doel om de digitale veerkracht van organisaties te verbeteren en een hogere mate van cyberbeveiliging te waarborgen in de Europese Unie (EU). De wetgeving legt strenge eisen op voor organisaties die als essentieel of belangrijk worden beschouwd. De NIS2-wetgeving roept nieuwe vragen en uitdagingen op. Is jouw organisatie goed voorbereid?
Snel naar de juiste informatie:
↓ Geldt dit ook voor mijn organisatie?
↓ Wat betekent NIS2 voor jouw organisatie?
↓ NIS2-Richtlijn
↓ NIS2 Compliance
↓ Hulp met implementatie
↓ Veel gestelde vragen
Geldt de NIS2 ook voor mijn organisatie?
Voor wie geldt de NIS2-richtlijn? Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria wordt gekenmerkt als essentiële of belangrijke entiteit. Ontdek in enkele vragen of jouw organisatie ook aan deze wetgeving moet voldoen.
Met trots werken wij onder andere voor
Wat betekent de NIS2 voor jouw organisatie?
De NIS2 wetgeving heeft impact op zowel de operationele als de strategische aspecten van jouw organisatie. De wetgeving vereist dat organisaties maatregelen nemen om hun digitale infrastructuur te beveiligen en cyberrisico’s effectief te beheren.
- Bescherming van gegevens: NIS2 helpt bij het beschermen van gevoelige gegevens, zowel van jouw organisatie als van je klanten.
- Vermindering van risico’s: Door proactieve maatregelen te treffen verminder je de kans op succesvolle cyberaanvallen aanzienlijk.
- Verbetering van de bedrijfscontinuïteit: Een goed doordacht incidentenbeheerplan zorgt ervoor dat jouw organisatie snel kan herstellen van een cyberaanval.
Herken jij deze uitdagingen voor jouw organisatie?
- Je weet niet precies waar je moet starten met de implementatie van NIS2.
- Je hebt onvoldoende zicht op de cyberrisico’s.
- Je twijfelt over welke beheersmaatregelen geïmplementeerd moeten worden.
- Je hebt een informatiebeveiligingsmanagementsysteem maar vraagt je af welke stappen je nog moet zetten voor NIS2 compliance.
Onze experts staan klaar om jouw organisatie te helpen met de NIS2. Maak een afspraak met onze professional Ryan Hart en ontdek wat wij voor jullie kunnen betekenen.
Onze experts staan klaar om jouw organisatie te helpen met de NIS2. Maak een afspraak met onze professional Ryan Hart en ontdek wat wij voor jullie kunnen betekenen.
Cuccibu valt op door de no-nonsens cultuur en de prettige manier van zaken doen. Pragmatisch, meedenkend en betrokken
Marcel Slingerland Manager ICT at Reinier de Graaf Groep
In de samenwerking met Cuccibu valt mij de combinatie van professionaliteit en plezier op. Duidelijkheid en transparantie zijn hierbij ondersteunend. Cuccibu is gericht op een duurzame relatie en denkt vergaand mee.
Mevr. drs. P.M.L. (Petra) de Bruijn Lid College van Bestuur SILFO
Wat is de NIS2-richtlijn?
De richtlijn vormt een uitgebreid kader voor cyberbeveiliging en is ontworpen om organisaties te helpen proactief om te gaan met cyberrisico’s. De richtlijn legt specifieke eisen op aan organisaties die belangrijke diensten leveren voor de samenleving.
- Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren. Op basis van deze beoordeling dienen technische, operationele en organisatorische maatregelen getroffen te worden om diensten te waarborgen en informatie te beschermen.
- Meldplicht: Organisaties dienen binnen 24 uur incidenten, die aanzienlijke gevolgen (kunnen) hebben voor de verlening van hun diensten, te melden bij de toezichthouder. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
- Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registeren, zodat er een Europees overzicht ontstaat van de entiteiten die onder de richtlijn vallen.
- Toezicht: Er wordt streng toezicht gehouden op de naleving van de NIS2-vereisten, zoals de zorg- en meldplicht. Organisaties die niet voldoen, kunnen geconfronteerd worden met sancties.
NIS2 Compliance
Het aantal cyberdreigingen neemt toe. Voorbeelden uit de praktijk benadrukken de noodzaak voor proactieve bescherming en een solide bedrijfscontinuïteit. NIS2 compliance toont aan dat jouw organisatie voldoet aan de vereisten van de richtlijnen en bereid is om cyberdreigingen effectief aan te pakken. Het is niet mogelijk om officieel te certificeren, maar het aantoonbaar voldoen aan de eisen biedt meerdere voordelen zoals:
- Verhoogt niveau van cyberweerbaarheid.
- Versterkt imago als betrouwbare partner.
- Beter risico- en incidentenbeheer.
- Minder kans op cyberrisico’s, zoals datalekken.
Hulp met implementatie
De implementatie van NIS2 kan complex zijn, vooral als Data Security niet de kernactiviteit van jouw organisatie is. Bij Cuccibu begrijpen we deze uitdaging. Met onze ondersteuning zorgen wij dat jouw organisatie voldoet aan de eisen uit de NIS2-richtlijn, zonder jouw bedrijfsdoelen uit het oog te verliezen.
Wij bieden hulp bij elke stap van het proces, van de initiële risicobeoordeling tot het implementeren van de noodzakelijke beveiligingsmaatregelen en het opstellen van incidentenbeheer.
Cuccibu jouw Partner in Security
✓ Meer dan 25 jaar kennis en ervaring
✓ Meer dan 30 Data Security experts
✓ Gespecialiseerd in compliance en implementatie
Onze experts werken samen met jouw team om:
- De huidige cyberbeveiligingsstatus van je organisatie te evalueren (gapanlyse).
- NIS2-vereisten te vertalen naar praktische maatregelen.
- Specifieke actielijsten en tijdslijnen voor implementatie op te stellen.
Daarnaast bieden we een NIS2 Boardroom Training voor bestuurders. Tijdens deze effectieve training leer je de essentiële elementen van de NIS2 en krijg je de kennis en vaardigheden die nodig zijn als bestuurder om je verantwoordelijkheden te vervullen.
NIS2 ondersteuning aanvragen
We nemen binnen 1 werkdag contact met je op.
Eerst zelf wat meer informatie lezen over de NIS2?
Download onze gratis NIS2 in vogelvlucht: Alles wat je moet weten over deze nieuwe richtlijn.
✓ 8 pagina’s met alle informatie over de NIS2 in één handig document.
✓ Meer over de impact van de NIS2 op jouw organisatie.
✓ Ontdek de relatie tussen NIS2 en andere normenkaders voor Data Security.
FAQ NIS2-richtlijn
We zetten de meest gestelde vragen over de richtlijn voor je op een rijtje.
In 2016 trad de eerste Network and Information Security directive (NIS) in werking, met als doel de digitale weerbaarheid in de Europese Unie te verbeteren. Door de snelle digitale transformatie is nu toegewerkt naar een nieuwe richtlijn. De NIS2 breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te omvatten, waardoor een breder spectrum aan entiteiten verantwoordelijk is voor het handhaven van een hoog cybersecurityniveau. Met een focus op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, streeft NIS2 naar Europese harmonisatie en een verhoogd niveau van cyberbeveiliging. Het is een antwoord op de groeiende cyberdreigingen en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, en benadrukt het belang van proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken.
Eind 2022 is de NIS2-richtlijn aangenomen door de Europese Unie. De bepalingen uit de NIS2-richtlijn moeten worden omgezet naar nationale wetgeving. De deadline hiervoor was 17 oktober 2024. In Nederland wordt de vertaalslag gemaakt in de Cyberbeveiligingswet (Cbw). In een kamerbrief van 25 januari 2024 heeft Dilan Yesilgöz (Minister van Jusitie en Veiligheid) laten weten dat het omzetten van de richtlijn in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. De deadline van 17 oktober is dan ook niet gehaald. De naleving van deze nieuwe richtlijn zal voorlopig nog niet afdwingbaar zijn in Nederland. Naar verwachting treedt de Cbw in het derde kwartaal van 2025 in werking.
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:
- Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
- Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.
Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.
- Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
- Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.
In principe vallen micro- en kleinbedrijven niet onder de NIS2-richtlijn. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Tot slot kan het ook voorkomen dat je niet direct aan de NIS2-richtlijn hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.
Een organisatie die onder de NIS2-richtlijn valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:
- Een risicoanalyse en beveiliging van informatiesystemen;
- (Beleid en procedures over) incidentenbehandeling;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Beveiliging van de toeleveranciersketen;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de NIS2-richtlijn vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.
Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de NIS2-richtlijn. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de NIS2. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.
Benieuwd hoe de maatregelen van NIS2 verschillen van andere normenkaders voor informatiebeveiliging? Lees dan ons driedelige blogserie:
NIS2 Ondersteuning: Versterk jouw digitale weerbaarheid
Met de ondersteuning van Cuccibu krijg je inzicht in de cyberveiligheid van jouw organisatie en voldoe je aan de eisen van de NIS2-richtlijn. Wij helpen je met een nulmeting om je huidige status te bepalen en bieden begeleiding bij de implementatie van de benodigde maatregelen. Zo zorgen we ervoor dat je verantwoord en effectief omgaat met cyberrisico’s en voldoet aan de wet- en regelgeving. Zo ben én blijf je in control!
"*" geeft vereiste velden aan