NIS 2.0: Alles wat je moet weten over de NIS 2 richtlijnen

De afgelopen jaren heeft de Europese Unie (EU) gewerkt aan een reeks richtlijnen voor een veiliger digitale omgeving. Het belang van informatiebeveiliging komt naar voren met de komst van de NIS 2.0-richtlijn. Met de NIS-richtlijn wil de EU het minimale beveiligingsniveau van netwerk- en informatiesystemen verbeteren. Het niet naleven van de NIS 2.0-richtlijn heeft juridische en strategische gevolgen voor organisaties. Er vinden meer aanvallen op kritische sectoren plaats of op de leveranciers van deze sectoren. Omdat beveiliging steeds meer net als de huidige markt een grensoverschrijdende aangelegenheid is moeten organisaties dus aan de slag!

Wat en voor wie is de NIS 2.0?

NIS staat voor Netwerk- en Informatiesystemen en is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Op dit moment geldt de NIS 1, een richtlijn voor essentiële bedrijven, zoals water- en telecombedrijven. De opvolger, NIS 2.0 verhoogt de cybersecurity-eisen door heel Europa en is voor meer sectoren van toepassing. Met deze richtlijn richt de EU zich niet alleen meer op grote organisaties. Nis 2.0 heeft namelijk ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.

In de nieuwe richtlijn worden organisaties ingedeeld ‘Essentieel’ of ‘Belangrijk’. Voor beiden categorieën zijn er dezelfde eisen voor informatiebeveiliging van toepassing maar gelden er andere toezicht- en sanctieregelingen.

Het verschil in sectoren tussen NIS1 en NIS2

Met de vernieuwing van de NIS1 zijn er een aantal sectoren toegevoegd die moeten voldoen aan de richtlijnen die opgesteld zijn. Hieronder zie je de sectoren die moeten voldoen aan de richtlijnen van NIS1.

Met de ingangtreding van NIS 2 worden er een aantal sectoren toegevoegd die moeten voldoen aan de nieuwe richtlijnen. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.

Gevolgen van het niet naleven van de richtlijnen

Niet naleving van de NIS 2-richtlijn kan leiden tot boetes en andere strafrechtelijke sancties. Er zijn forse boetes mogelijk van maximaal 10 miljoen euro of 2% van de jaaromzet. Daarnaast kent de niet-naleving van de richtlijn ook strategische gevolgen voor jouw organisatie. Het implementeren van de richtlijn zorgt namelijk voor een betere bescherming van jouw dienst bij klanten en partners, het verbetert jouw digitale veiligheidspositie en daarmee ook de reputatie van jouw organisatie omdat cybersecurity serieus wordt genomen. Nog meer reden dus om cyberveiligheid op orde te hebben.

De gevolgen beschreven in de wettelijke artikelen

Hieronder staan kort de letterlijke wettelijke artikelen beschreven:

• De lidstaten zorgen ervoor dat essentiële entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 10 000 000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.

• De lidstaten zorgen ervoor dat belangrijke entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 7 000 000 EUR of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is

Vanaf wanneer treed NIS 2.0 in?

De NIS 2.0 is op 16 januari 2023 in werking getreden en de lidstaten hebben nu 21 maanden, tot 17 oktober 2024, om de maatregelen ervan in nationaal recht om te zetten. De NIS 2.0 gaat gelden naast sectorspecifieke wetgeving en daar zijn ook veel ontwikkelingen. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.

3 tips voor het voldoen aan de NIS 2.0 richtlijnen

1. De voorgestelde aanpassingen in de NIS 2.0 laten zien dat organisaties minimaal moeten voldoen aan de basismaatregelen die het Nationaal Cybersecurity Centrum heeft uitgezet.
2. Om de impact van risico’s van o.a. incidenten te verminderen, is het van belang om al jouw klanten en leveranciers tegen het licht te houden. Stel jezelf de vraag of klanten kunnen worden aangemerkt als essentiële of belangrijke aanbieder onder de NIS 2.0 en/ of worden leveranciers verplicht technische en organisatorische maatregelen te nemen die de beschikbaarheid van de diensten waarborgt.
3. Elke organisatie kan in directe of indirecte zin te maken krijgen met informatiebeveiligingsincidenten, dus wees hier goed op voorbereid. Bereid jouw organisatie voor en oefen regelmatig! Meer info over oefenen vind je op onze security awareness pagina.

Huidige Status NIS2: 1-2-2023

In een brief aan de tweede kamer waarschuwt Minister van Justitie en Veiligheid Yesilgöz dat het omzetten van de NIS2 naar nationale wetgeving langer duurt dan verwacht. Hierom stelt ze dat de implementatie deadline niet gehaald gaat worden. Daarnaast wordt ook de CER-richtlijn, voor het beschermen van kritieke infrastructuur, niet op tijd gehaald. Dit zou oorspronkelijk 17 oktober van 2024 zijn. Dit betekent dus ook dat de implementatiewetten niet op de tot-nu-toe gecommuniceerde datum in werking zullen gaan treden of nageleefd hoeven te worden. 

En nu?

Wel wordt er gesteld dat het traject richting de consultatie van de conceptwetsvoorstellen bevindt zich in een afrondende fase. De conceptwetgeving zal naar verwachting voor de zomer van 2024 in consultatie worden gebracht.

Geschreven door: Marloes de Bruin

Delen: