NIS2: hoe deze cyberbeveiligingsrichtlijn uw organisatie beïnvloedt.

Wie valt onder de NIS2?

De NIS2-richtlijn is van toepassing op organisaties die als essentiële of belangrijke entiteiten worden gekenmerkt, afhankelijk van de sector en de grootte van de organisatie. De sectoren zijn verdeeld in twee bijlagen:

• Bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
• Bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

De grootte van een organisatie wordt bepaald door het aantal werknemers of de financiële cijfers.

• Een organisatie is groot bij minimaal 250 werknemers OF als er sprake is van een jaaromzet van meer dan €50 miljoen én een balanstotaal van meer dan €43 miljoen.
• Een organisatie is middelgroot bij minimaal 50 werknemers OF als er sprake is van een jaaromzet én balanstotaal van meer dan €10 miljoen.

Grote organisaties actief in een sector uit bijlage 1 zijn essentiële entiteiten. Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisatie die actief zijn in een sector uit bijlage 2 zijn belangrijke entiteiten.

Uiteraard gelden er altijd uitzonderingen op de regel. Organisaties die actief zijn als aanbieder van vertrouwensdiensten, register voor topleveldomeinen, verlener van domeinnaamregistratiediensten en aanbieder van openbare elektronische communicatienetwerken of -diensten, vallen direct onder de NIS2-richtlijn. Ongeacht de grootte van de organisatie.

Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. Als uw organisatie deel uitmaakt van de toeleveringsketen van een essentiële of belangrijke entiteit, kunnen zij ook specifieke beveiligingseisen aan uw organisatie stellen.

Welke eisen worden gesteld?

De NIS2-richtlijn biedt een uitgebreid kader voor cyberbeveiliging en is ontwerpen om organisaties te helpen proactief om te gaan met cyberrisico’s. De NIS2 introduceert drie belangrijke verplichtingen:

• Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en technische, operationele en organisatorische maatregelen treffen om hun netwerk- en informatiesystemen te beschermen.
• Meldplicht: Cyberincidenten die aanzienlijke gevolgen (kunnen) hebben voor de dienstverlening van een organisatie, moeten binnen 24 uur gemeld worden bij de toezichthouder en het Nationaal Cyber Security Centrum (NCSC). Binnen 72 uur moet een gedetailleerd rapport worden aangeleverd en binnen een maand een eindverslag.
• Registratieplicht: Organisaties die onder de NIS2 vallen, moeten zich registreren, zodat er een overzicht ontstaat van entiteiten die voldoen aan de richtlijn.

Daarnaast wordt streng toezicht gehouden op de naleving van de NIS2-vereisten. Organisaties die niet voldoen worden geconfronteerd met sancties.

Het verschil tussen essentiële en belangrijke entiteiten ligt dan ook vooral in het toezicht en de sancties. Essentiële entiteiten staan onder strenger, proactief toezicht, terwijl belangrijke entiteiten alleen bij directe aanleiding gecontroleerd worden. Daarnaast riskeren essentiële entiteiten zwaardere sancties bij niet-naleving, terwijl belangrijke entiteiten sancties ontvangen bij incidenten. Beide entiteiten moeten voldoen aan de beveiligingseisen uit de zorgplicht en de stikte tijdslijnen van de meldplicht hanteren.

Wat is de impact op uw organisatie?

Hoewel de NIS2 nog niet volledig is omgezet in de Nederlandse wetgeving (de Cyberbeveiligingswet), roept de Rijksoverheid organisaties op om nu al in actie te komen. Maar waar te beginnen? Dit kan complex zijn, vooral wanneer cyberbeveiliging niet jullie kernactiviteit is.

Het niet voldoen aan de NIS2-richtlijn verhoogt de kans op incidenten, datalekken of cyberaanvallen. Met verstoringen van bedrijfscontinuïteit en het verlies van klantvertrouwen als gevolg. Door nu in actie te komen verbeter je de cyberbeveiliging van uw organisatie, bescherm je belangrijke gegevens en voldoe je aan wet- en regelgeving. Zo ben én blijft u in control!

Wat kan u nu al doen?

• Breng het landschap van uw organisatie in kaart. Controleer of de NIS2 van toepassing is. Valt uw organisatie direct onder de wetgeving? Of moet u wellicht indirect, vanuit de toeleveringsketen, voldoen aan de eisen uit de NIS2?
• NIS2 GAP-analyse uitvoeren. Breng in kaart in welke mate uw organisatie voldoet aan de eisen van de NIS2-richtlijn. Welke GAPS zijn er? En welke acties moet u ondernemen om volledige NIS2 compliance te behalen?
• Breng risico’s in kaart. Voer een risicoanalyse uit om de belangrijkste dreigingen voor uw netwerk- en informatiesystemen te identificeren.
• Implementeer beveiligingsmaatregelen. Zorg ervoor dat u de beveiligingsmaatregelen zoals genoemd in de zorgplicht van de NIS2-richtlijn implementeert. Het is belangrijk om deze maatregelen aantoonbaar te maken. Documenteer de maatregelen en procedures.
• Evalueer. De naleving van de NIS2 is een continu proces. De omgeving en uw organisatie blijven zich ontwikkelen. Controleer de maatregelen en procedures op hun werking en optimaliseer om aan de richtlijn te blijven voldoen.

Hulp nodig bij het naleven van de NIS2?

Sinds december 2024 maakt de DMCC Group onderdeel uit van Cuccibu, een gerenommeerde speler op het gebied van data privacy, data security en QHSE. Cuccibu kan uw vragen omtrent de NIS2 beantwoorden en u ondersteunen waar nodig. Lees er meer over op hun website: https://cuccibu.com/nis2-richtlijn-wetgeving/