Wat is NIS2 en wat betekent het voor jouw organisatie?
De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Cyberaanvallen kunnen een flinke impact hebben op samenlevingen, aangezien we zowel op zakelijk als persoonlijk vlak sterk afhankelijk zijn van een goed functionerende digitale infrastructuur. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie.
Om de cybersecurity in heel Europa aan te scherpen, heeft het Europees Parlement gestemd voor de goedkeuring van de herziene Netwerk en Informatiesystemen Directive 2022/0383, beter bekend als "NIS2". NIS2 is bedoeld om de uitvoering van het bestaande cybersecurity kader van de EU uit te breiden, te versterken en te harmoniseren. Het vormt een belangrijk onderdeel van de cybersecurity strategie van de EU en sluit aan bij de prioriteit van de Europese Commissie om Europa klaar te maken voor het digitale tijdperk.
Wat is de NIS2 Directive?
In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS Directive). Deze NIS1 stelt op het gebied van cybersecurity strenge eisen aan zogenoemde ‘essentiële bedrijven’. Dit zijn bijvoorbeeld water-, energie- en telecombedrijven. De NIS2 is een aanvulling op en uitbreiding van de richtlijn die meer bedrijven aanmerkt als essentieel bedrijf. Het gaat in totaal om zo’n 160.000 organisaties verspreid over heel Europa.
De belangrijkste onderdelen van de NIS2 zijn:
- Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.
- De NIS2 vraagt om meer aandacht voor de bestuursorganen van bedrijven die onder de richtlijn vallen, zodat ze verantwoordelijk kunnen worden gesteld als er iets misgaat.
- De richtlijn verscherpt de security eisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecurity maatregelen.
De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten, maar classificeert organisaties op basis van hun belang en onderverdeelt ze in essentiële en belangrijke categorieën.
Bedrijven moeten nu incidenten melden en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden.
Bedrijven moeten ook de beveiligingsrisico's in hun toeleveringsketens en leveranciersrelaties aanpakken.
Nationale autoriteiten krijgen strengere toezichtsmaatregelen en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren.
Wanneer en op wie is de NIS2 van toepassing?
De NIS2 geldt voor elke organisatie die in de EU actief is en belangrijke diensten aan consumenten levert. Dit geldt voor organisaties in verschillende sectoren, zoals bijvoorbeeld internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen (zoals maximaal 10 miljoen euro aan jaarinkomsten en minder dan 50 personeelsleden). Ook kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.
Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecurity management en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Voor essentiële aanbieders, voornamelijk uit de vitale sectoren, moet het toezicht streng proactief zijn en duidelijk zichtbaar zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor belangrijke aanbieders vindt het toezicht plaats achteraf, als er aanwijzingen zijn voor een cyberincident.
De nieuwe wetgeving is van toepassing op meer organisaties en sectoren dan de oude wetgeving (NIS1). Het doel van de nieuwe wetgeving is om de digitale veiligheid van de EU-landen te vergroten en gelijk te trekken. In Nederland zal de nieuwe wetgeving naar verwachting in oktober 2024 in de wet worden opgenomen. “Voor veel mkb’ers zal NIS2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en zul je vaker bezoek krijgen van een toezichthouder”, legt VVD-europarlementariër Bart Groothuis uit.
Wat is de impact van de nieuwe wetgeving?
Is jouw organisatie aangemerkt als essentieel? En voldoe je niet aan de eisen die de NIS2 stelt? Dan kun je te maken krijgen met boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.
Levert jouw bedrijf een essentiële of belangrijke diensten aan consumenten? Dan moet je eind 2024 jouw cybersecurity zaken op orde hebben. Dit lijkt ver weg, maar voor je het weet is het zover. Wij helpen je graag om te onderzoeken hoe de cybersecurity van jouw bedrijf ervoor staat en we zorgen er samen voor dat je op tijd alle zaken op orde hebt.
Gedegen voorbereiding
De formele goedkeuring van NIS2 vond plaats op 10 november 2022, de formele publicatie van de richtlijn is op 16 januari 2023 in werking getreden. Dit betekent dat de Europese lidstaten binnen 21 maanden na die publicatiedatum moeten beginnen met de implementatie. De implementatie moet dus afgerond zijn voor 17 oktober 2024. Dit geeft bedrijven de tijd om zich voor te bereiden.
Gelukkig kun je veel doen om je cybersecurity naar een hoger niveau te tillen. Zorg ervoor dat je de beginselen van security en privacy by design toepast bij het invoeren van nieuwe processen of het herzien van leveranciers - en bereid je op een holistische manier voor op NIS2, waarbij je ook rekening houdt met relevante verplichtingen op grond van andere wetten. Je cybersecurity-beleid en incidentmanagement-procedures van zullen bijvoorbeeld rekening moeten houden met alle relevante vereisten binnen de toepasselijke wetten. Waaronder de GDPR-vereisten voor incidentrapportage en voor passende technische en organisatorische maatregelen, maar ga er niet automatisch van uit dat een GDPR-conform incidentresponsproces voldoende zal zijn voor NIS 2-doeleinden. Vooral in het licht van de strakkere rapportagetermijnen van NIS 2. Herzie je vereisten en incidentrapportage - en overweeg welke veranderingen nodig zijn.
Ook het consequent toepassen van multifactorauthenticatie (MFA), ontwikkelen van een goed raamwerk voor identity and access management (IAM) en het verkleinen van het digitale aanvalsoppervlak helpen bij het verhogen van je digitale veiligheidsniveau.
Zo helpt Nomios
Heb je moeite om te voldoen aan de strenge eisen op het gebied van cybersecurity? En vind je het een uitdaging om jouw organisatie klaar te stomen voor de NIS2? Dan helpt Nomios je graag verder. Wij zijn een erkende specialist op het gebied van cybersecurity en networking en hebben de kennis en oplossingen in huis die jou helpen om te voldoen aan de eisen die de NIS2 stelt.
Een greep uit onze diensten en oplossingen
![Security automation]()
Lees verderManaged security services
Verbeter jouw beveiliging terwijl je de druk op het IT-team vermindert met een ervaren partner.
![Soc]()
Lees verderMDR Managed Detection & Response
Vergroot jouw capaciteiten op het gebied van security operations en verkort de tijd die nodig is om bedreigingen op te sporen en in te dammen.
![Compass]()
Lees verderTechnologie consulting
Maak gebruik van onze expertise op het gebied van strategie, industrie en engineering. Zet technologie in binnen jouw organisatie om iets unieks te creëren, groei te stimuleren en resultaten te versnellen.
![Questionnaire]()
Lees verderAssessment services
Onze assessment services bieden je de informatie die je nodig hebt om jouw digitale infrastructuur beter te begrijpen, weloverwogen beslissingen te nemen en digitale strategieën te ontwikkelen.
![Book open]()
Lees verderEducatie & training services
Wij bieden op maat gemaakte trainingsprogramma's voor alle security- en netwerkoplossingen in ons portfolio.
![Lock]()
Lees verderSecurity solutions
Toekomstbestendige beveiliging. Ga verder dan de frontlinie van cyber security.
Kom in contact met onze expertsOns team staat voor je klaar
Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.
Meer updates
NIS2
NIS2 adviezen voor CISO’s
Als CISO is het belangrijk om de vereisten van de NIS2-richtlijn te begrijpen en ervoor te zorgen dat jouw bedrijf tijdig aan de eisen voldoet.
Onderneming
Nomios Group groeit in Zuid-Europa met overname Italiaanse cybersecurity expert Aditinet
De acquisitie van Aditinet versterkt de positie van Nomios als een van de meest toonaangevende Europese cybersecurity dienstverleners.
Sébastien Kher
Juniper Networks Award
Nomios wint Juniper Networks Worldwide Partner of the Year award
Op 2 februari 2022, tijdens de Juniper Networks Partner Executive Summit in Madrid, werd Nomios uitgeroepen tot Juniper Networks Partner of the Year voor 2022.