Op 16 januari 2023 is NIS2 officieel van kracht gegaan. Lidstaten van de EU zullen deze richtlijn binnen 21 maanden moeten hebben omgezet in nationale wetgeving. Maar wat is NIS2 nou eigenlijk, en wat kunnen we ervan verwachten? In dit artikel zullen we 5 belangrijke zaken bespreken die je moet weten over de komst van de NIS2-richtlijn.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is de herziene versie van de NIS-richtlijn uit 2016. NIS staat voor ‘Network and Information Security’ oftewel ‘Netwerk en Informatie Beveiliging’. De richtlijn is bedoeld om de beveiliging van kritieke infrastructuur te versterken, zoals banken, energiebedrijven en telecommunicatiebedrijven.
Met de herziening zullen meer sectoren onder de richtlijn vallen en zullen zij aan meer beveiligingseisen moeten voldoen. Daarnaast zullen ook het toezicht en de sancties geharmoniseerd worden in de gehele EU. Met een grotere reikwijdte en strengere eisen, zal NIS2 de EU beter moeten beschermen tegen cyberaanvallen en andere dreigingen voor de digitale veiligheid. Lees hier meer over de NIS2-richtlijn.
Welke organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn is van toepassing op zogenoemde kritieke en zeer kritieke sectoren in de Europese Unie. Dit omvat onder andere bedrijven in de financiële sector, de energie- en transportsector, digitale dienstverleners zoals cloud computing en online marktplaatsen, en online zoekmachines en sociale netwerken.
Essentieel
Alleen grote organisaties* die onder zeer kritieke sectoren vallen, worden beschouwd als ‘essentieel’. Sommige organisaties worden automatisch als “essentieel” beschouwd, ongeacht hun grootte, als een storing in hun dienstverlening ernstige gevolgen zou hebben of als ze de enige aanbieder zijn. Dit geldt ook voor organisaties die openbare communicatienetwerken en -diensten leveren, dienstverleners van vertrouwensfuncties, en dienstverleners voor topleveldomeinnamen en domeinnaamregistratie.
Het grootste verschil tussen essentiële en belangrijke entiteiten zit in de monitoring van het naleven van de regels. Bij de essentiële aanbieders is het toezicht straks proactief. Dit betekent dat bij deze organisaties actief gecheckt zal worden of de wetgeving wordt nageleefd.
Belangrijk
Middelgrote organisaties* die actief zijn in zeer kritieke sectoren worden beschouwd als belangrijk, samen met grote en middelgrote organisaties in kritieke sectoren. De meeste organisaties die onder NIS2 zullen vallen, komen in de categorie belangrijk. Bij belangrijke organisaties vindt het toezicht achteraf plaats, pas als er aanwijzingen zijn dat er sprake is van een incident. Mocht na een incident blijken dat de organisatie niet de vereiste stappen heeft genomen, dan zullen ook deze organisaties te maken kunnen krijgen met mogelijke consequenties van het niet naleven van deze wetgeving.
* Grote organisaties: meer dan 250 medewerkers en een jaaromzet van minimaal 50 miljoen euro (of een balanstotaal van minimaal 43 miljoen euro).
* Middelgrote organisaties: minder dan 250 medewerkers en een jaaromzet van maximaal 50 miljoen euro (of balanstotaal van maximaal 43 miljoen euro).
Download de infographic waarin je precies kunt zien welke bedrijven onder essentiële en kritieke sectoren vallen:
Wat zijn de gevolgen van de NIS2-richtlijn?
Bedrijven die onder de NIS2-richtlijn vallen, moeten zich houden aan strikte beveiligingsvereisten en incidenten melden bij de nationale autoriteiten. In geval van een cyberaanval of ander veiligheidsincident, moeten bedrijven snel handelen om de situatie te beheersen en de impact te beperken. Niet-naleving kan leiden tot boetes en eventuele schorsingen.
Wanneer treedt de NIS2-richtlijn in werking?
De NIS2-richtlijn is op 16 januari 2023 in werking getreden. Lidstaten hebben vanaf die datum 21 maanden de tijd om de richtlijn in hun nationale wetgeving om te zetten en de nodige infrastructuur op te zetten om de richtlijn te handhaven. Organisaties die onder de NIS2-richtlijn gaan, moeten zich nu al voorbereiden op de veranderingen die de richtlijn met zich meebrengt. Vanaf oktober 2024 zal de wetgeving in Nederland van kracht gaan en moeten organisaties voldoen aan de eisen.
Wat moeten bedrijven doen om aan de NIS2-richtlijn te voldoen?
Bedrijven die onder de NIS2-richtlijn vallen, moeten de nodige maatregelen nemen om hun digitale beveiliging te verbeteren en incidenten te melden bij de nationale autoriteiten. Dit omvat onder andere het opzetten van beveiligingsprocedures en incident response-plannen, het monitoren van netwerken en systemen, het uitvoeren van risicobeoordelingen en het trainen van medewerkers in cybersecurity.