De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Cyberaanvallen kunnen een flinke impact hebben op samenlevingen, aangezien we zowel op zakelijk als persoonlijk vlak sterk afhankelijk zijn van een goed functionerende digitale infrastructuur. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie.
Om de cybersecurity in heel Europa aan te scherpen, heeft het Europees Parlement gestemd voor de goedkeuring van de herziene Netwerk en Informatiesystemen Directive 2022/0383, beter bekend als "NIS2". NIS2 is bedoeld om de uitvoering van het bestaande cybersecurity kader van de EU uit te breiden, te versterken en te harmoniseren. Het vormt een belangrijk onderdeel van de cybersecurity strategie van de EU en sluit aan bij de prioriteit van de Europese Commissie om Europa klaar te maken voor het digitale tijdperk.
Wat is de NIS2 Directive?
In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS Directive). Deze NIS1 stelt op het gebied van cybersecurity strenge eisen aan zogenoemde ‘essentiële bedrijven’. Dit zijn bijvoorbeeld water-, energie- en telecombedrijven. De NIS2 is een aanvulling op en uitbreiding van de richtlijn die meer bedrijven aanmerkt als essentieel bedrijf. Het gaat in totaal om zo’n 160.000 organisaties verspreid over heel Europa.
De belangrijkste onderdelen van de NIS2 zijn:
- Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.
- De NIS2 vraagt om meer aandacht voor de bestuursorganen van bedrijven die onder de richtlijn vallen, zodat ze verantwoordelijk kunnen worden gesteld als er iets misgaat.
- De richtlijn verscherpt de security eisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecurity maatregelen.
De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten, maar classificeert organisaties op basis van hun belang en onderverdeelt ze in essentiële en belangrijke categorieën.
Bedrijven moeten nu incidenten melden en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden.
Bedrijven moeten ook de beveiligingsrisico's in hun toeleveringsketens en leveranciersrelaties aanpakken.
Nationale autoriteiten krijgen strengere toezichtsmaatregelen en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren.
Podcast: NIS2, wat moet ik ermee?
Luister nu ook onze podcast NIS2, wat moet ik ermee? met onze legal expert Tim Fleur en sales director Jan-Willem Sipman.
Wanneer en op wie is de NIS2 van toepassing?
De NIS2 geldt voor elke organisatie die in de EU actief is en belangrijke diensten aan consumenten levert. Dit geldt voor organisaties in verschillende sectoren, zoals bijvoorbeeld internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen (zoals maximaal 10 miljoen euro aan jaarinkomsten en minder dan 50 personeelsleden). Ook kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.
Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecurity management en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Voor essentiële aanbieders, voornamelijk uit de vitale sectoren, moet het toezicht streng proactief zijn en duidelijk zichtbaar zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor belangrijke aanbieders vindt het toezicht plaats achteraf, als er aanwijzingen zijn voor een cyberincident.
De nieuwe wetgeving is van toepassing op meer organisaties en sectoren dan de oude wetgeving (NIS1). Het doel van de nieuwe wetgeving is om de digitale veiligheid van de EU-landen te vergroten en gelijk te trekken. In Nederland zal de nieuwe wetgeving naar verwachting in oktober 2024 in de wet worden opgenomen. “Voor veel mkb’ers zal NIS2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en zul je vaker bezoek krijgen van een toezichthouder”, legt VVD-europarlementariër Bart Groothuis uit.
Wat is de impact van de nieuwe wetgeving?
Is jouw organisatie aangemerkt als essentieel? En voldoe je niet aan de eisen die de NIS2 stelt? Dan kun je te maken krijgen met boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.
Levert jouw bedrijf een essentiële dienst aan consumenten? Dan moet je voor 17 oktober 2024 jouw cybersecurity zaken op orde hebben. Dit lijkt ver weg, maar voor je het weet is het zover. Wij helpen je graag om te onderzoeken hoe de cybersecurity van jouw bedrijf ervoor staat en we zorgen er samen voor dat je op tijd alle zaken op orde hebt.
Een greep uit onze diensten en oplossingen
![Security automation]()
Managed security services
Improve your security posture while reducing the burden on your IT team with an experienced partner.
![Lock]()
MDR Managed Detection & Response
Vergroot jouw capaciteiten op het gebied van security operations en verkort de tijd die nodig is om bedreigingen op te sporen en in te dammen.
![Compass]()
Technologie consulting
Maak gebruik van onze expertise op het gebied van strategie, industrie en engineering. Zet technologie in binnen jouw organisatie om iets unieks te creëren, groei te stimuleren en resultaten te versnellen.
![Questionnaire]()
Assessment services
Onze assessment services bieden je de informatie die je nodig hebt om jouw digitale infrastructuur beter te begrijpen, weloverwogen beslissingen te nemen en digitale strategieën te ontwikkelen.
![Book open]()
Educatie & training services
Wij bieden op maat gemaakte trainingsprogramma's voor alle security- en netwerkoplossingen in ons portfolio.
![Lock]()
Security solutions
Toekomstbestendige beveiliging. Ga verder dan de frontlinie van cyber security.
Ons team staat voor je klaar
Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.
Gerelateerde updates
Cybersecurity E-mail security
Hoe voorkom je dat jouw organisatie slachtoffer wordt van phishing?
Om phishing bij jouw bedrijf te voorkomen is het belangrijk om op drie zaken te focussen: educatie, processen en technologie.
Erik Biemans
Anti-DDoS
Top DDoS-beschermingsoplossingen die op je radar moeten staan
Overzicht van DDoS-beschermingsoplossingen om bedrijven te beschermen tegen deze grotere, slimmere en meer diverse DDoS-aanvallen. Deze moet je op je radar hebben!
NIS2
NIS2 adviezen voor CISO’s
Als CISO is het belangrijk om de vereisten van de NIS2-richtlijn te begrijpen en ervoor te zorgen dat jouw bedrijf tijdig aan de eisen voldoet.