09-12-24
Firevaned heeft verschillende consultatiesessies rond de NIS2 bijgewoond. Hierbij vatten we voor onze leden samen wat de NIS2 inhoudt en welke organisaties onder de regelgeving vallen. Tevens hebben we een aanbeveling opgenomen in onderstaand bericht.
Wat is de NIS2
De NIS2 (Network and Information Security directive) is een Europese richtlijn gericht op het vergroten van de digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in de EU. De NIS2-richtlijn wordt momenteel omgezet naar Nederlandse wetgeving en wordt 2025 actueel.
Voor wie gaat de NIS2 gelden?
De NIS2-richtlijn is van toepassing op organisaties die gezien worden als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie.
- Er zijn verschillende (sub)sectoren gedefinieerd die onder de NIS2 vallen. O.a. entiteiten die medische hulpmiddelen vervaardigen, die in het kader van een noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd. Fabrikanten van fietsen, invalidenwagens en onderdelen / toebehoren voor fietsen en invalidenwagens vallen hieronder.
- Omvang van de organisatie
Middelgrote organisaties met minimaal 50 werknemers (fte) of een jaaromzet en/of balanstotaal van meer dan € 10 miljoen.
Grote organisaties met minimaal 250 werknemers (fte) of een jaaromzet van meer dan € 50 miljoen en/of een balanstotaal van meer dan € 43 miljoen.
Voldoe je aan beide criteria: Ben je fabrikant zoals beschreven onder 1 en heb je een middelgrote of grote organisatie zoals beschreven onder 2, dan is de NIS2 straks op jouw organisatie van toepassing.
Met de NIS2-Zelfevaluatie kunnen organisaties inschatten of ze onder de NIS2-richtlijn vallen en of zij gezien worden als belangrijk of als essentieel. Ga naar de NIS2-Zelfevaluatie.
De NIS2 stelt hoge eisen aan organisaties
NIS2 vereist naleving van beveiligingsmaatregelen en melding van cyberincidenten. Niet-naleving kan leiden tot boetes, waarvan de maximale bedragen afhankelijk zijn van de categorie van de organisatie. Bestuurders zijn persoonlijk verantwoordelijk en hoofdelijk aansprakelijk voor de NIS2-compliance.
NIS2 heeft 2 hoofdpijlers: een zorgplicht en een meldplicht.
- De zorgplicht vereist dat organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om digitale veiligheid en continuïteit te waarborgen.
- Organisaties moeten ook voldoen aan de meldplicht en incidenten binnen 24 uur (bij verstoring van dienstverlening) of binnen 72 uur (in andere gevallen) melden aan de betreffende autoriteit.
Bestaande raamwerken zoals CIS Controls en certificeringen zoals ISO 27001 of NEN 7510 kunnen nuttig zijn voor NIS2-compliance.
Bereid je voor op de komst van de NIS2
De maatregelen die organisaties die onder de NIS2 vallen moeten nemen, kunnen veel tijd en aandacht gaan vragen. Daarom adviseert de Rijksoverheid organisaties om niet af te wachten totdat er wetgeving is, maar nu alvast voorbereidingen te treffen. Met de NIS2-Quickscan krijgen organisaties inzicht in hoe zij zich kunnen voorbereiden op de komst van de nieuwe Europese NIS2-richtlijn. Ga naar de NIS2-Quickscan.