Wat is NIS2 en wat betekent het voor jouw organisatie?

De laatste jaren zien we in Europa een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Cyberaanvallen kunnen een flinke impact hebben op samenlevingen, aangezien we zowel op zakelijk als persoonlijk vlak sterk afhankelijk zijn van een goed functionerende digitale infrastructuur. Nu we met zijn allen vooral digitaal werken, is cybersecurity een basisvoorwaarde in plaats van een optie.

Om de cybersecurity in heel Europa aan te scherpen, heeft het Europees Parlement gestemd voor de goedkeuring van de herziene Netwerk en Informatiesystemen Directive 2022/0383, beter bekend als "NIS2". NIS2 is bedoeld om de uitvoering van het bestaande cybersecurity kader van de EU uit te breiden, te versterken en te harmoniseren. Het vormt een belangrijk onderdeel van de cybersecurity strategie van de EU en sluit aan bij de prioriteit van de Europese Commissie om Europa klaar te maken voor het digitale tijdperk.

Wat is de NIS2 Directive?

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS Directive). Deze NIS1 stelt op het gebied van cybersecurity strenge eisen aan zogenoemde ‘essentiële bedrijven’. Dit zijn bijvoorbeeld water-, energie- en telecombedrijven. De NIS2 is een aanvulling op en uitbreiding van de richtlijn die meer bedrijven aanmerkt als essentieel bedrijf. Het gaat in totaal om zo’n 160.000 organisaties verspreid over heel Europa.

De belangrijkste onderdelen van de NIS2 zijn:

• Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.
• De NIS2 vraagt om meer aandacht voor de bestuursorganen van bedrijven die onder de richtlijn vallen, zodat ze verantwoordelijk kunnen worden gesteld als er iets misgaat.
• De richtlijn verscherpt de security eisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecurity maatregelen.

• De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten, maar classificeert organisaties op basis van hun belang en onderverdeelt ze in essentiële en belangrijke categorieën.

• Bedrijven moeten nu incidenten melden en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden.

• Bedrijven moeten ook de beveiligingsrisico's in hun toeleveringsketens en leveranciersrelaties aanpakken.

• Nationale autoriteiten krijgen strengere toezichtsmaatregelen en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren.

Op wie is de NIS2 van toepassing?

De NIS2 geldt voor elke organisatie die in de EU actief is en belangrijke diensten aan consumenten levert. Dit geldt voor organisaties in verschillende sectoren, zoals bijvoorbeeld internetproviders, energieleveranciers, drinkwaterbedrijven, afvalverwerkers, banken, vervoerders, zorginstellingen en fabrieken die voedsel of belangrijke huishoudelijke artikelen produceren. Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen (zoals maximaal 10 miljoen euro aan jaarinkomsten en minder dan 50 personeelsleden). Ook kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.

Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecurity management en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Voor essentiële aanbieders, voornamelijk uit de vitale sectoren, moet het toezicht streng proactief zijn en duidelijk zichtbaar zijn in hun processen. Dit betekent dat toezichthouders controleren of deze organisaties de regels correct toepassen en naleven. Voor belangrijke aanbieders vindt het toezicht plaats achteraf, als er aanwijzingen zijn voor een cyberincident. “Voor veel mkb’ers zal NIS2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en zul je vaker bezoek krijgen van een toezichthouder”, legt VVD-Europarlementariër Bart Groothuis uit.

De wetgeving is van toepassing op meer organisaties en sectoren dan de oude wetgeving (NIS1). Het doel van de nieuwe wetgeving is om de digitale veiligheid van de EU-landen te vergroten en gelijk te trekken. In Nederland zal de nieuwe wetgeving naar verwachting in het derde kwartaal van 2025 in de wet worden opgenomen onder de naam Cyberbeveiligingswet (Cbw). Er zijn een aantal landen die wel de deadline van 17 oktober 2024 hebben gehaald. Een van deze landen is België. Zij waren zelfs het eerste land die de nieuwe Europese regels volledig invoert.

Wat is de impact van de nieuwe wetgeving?

Is jouw organisatie aangemerkt als essentieel? En voldoe je niet aan de eisen die de NIS2 stelt? Dan kun je te maken krijgen met boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.