NIS2: Wat is het en wat zijn de richtlijnen van NIS 2?

De afgelopen jaren heeft de Europese Unie (EU) gewerkt aan een reeks richtlijnen voor een veiliger digitale omgeving. Het belang van informatiebeveiliging komt naar voren met de komst van de NIS2 richtlijn. Met de NIS richtlijn wil de EU het minimale beveiligingsniveau van netwerk- en informatiesystemen verbeteren. Het niet naleven van de NIS2 richtlijn heeft juridische en strategische gevolgen voor organisaties. Er vinden meer aanvallen op kritische sectoren plaats of op de leveranciers van deze sectoren. Omdat beveiliging steeds meer net als de huidige markt een grensoverschrijdende aangelegenheid is moeten organisaties dus aan de slag!

Noah aan het werk voor de NIS2 richtlijn

Wat en voor wie is de NIS2?

NIS staat voor Netwerk- en Informatiesystemen en is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Op dit moment geldt de NIS 1, een richtlijn voor essentiële bedrijven, zoals water- en telecombedrijven. De opvolger, NIS2 verhoogt de cybersecurity-eisen door heel Europa en is voor meer sectoren van toepassing. Met deze richtlijn richt de EU zich niet alleen meer op grote organisaties. NIS2 heeft namelijk ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.

In de nieuwe richtlijn worden organisaties ingedeeld ‘Essentieel’ of ‘Belangrijk’. Voor beiden categorieën zijn er dezelfde eisen voor informatiebeveiliging van toepassing maar gelden er andere toezicht- en sanctieregelingen.

Het verschil in sectoren tussen NIS1 en NIS2

Met de vernieuwing van de NIS1 zijn er een aantal sectoren toegevoegd die moeten voldoen aan de richtlijnen die opgesteld zijn. Hieronder zie je de sectoren die moeten voldoen aan de richtlijnen van NIS1.

Met de ingangtreding van NIS2 worden er een aantal sectoren toegevoegd die moeten voldoen aan de nieuwe richtlijnen. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.

Overzicht van sectoren die erbij komen met NIS2. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.

Gevolgen van het niet naleven van de richtlijnen

Niet naleving van de NIS 2-richtlijn kan leiden tot boetes en andere strafrechtelijke sancties. Er zijn forse boetes mogelijk van maximaal 10 miljoen euro of 2% van de jaaromzet. Daarnaast kent de niet-naleving van de richtlijn ook strategische gevolgen voor jouw organisatie. Het implementeren van de richtlijn zorgt namelijk voor een betere bescherming van jouw dienst bij klanten en partners, het verbetert jouw digitale veiligheidspositie en daarmee ook de reputatie van jouw organisatie omdat cybersecurity serieus wordt genomen. Nog meer reden dus om cyberveiligheid op orde te hebben.

De gevolgen beschreven in de wettelijke artikelen

Hieronder staan kort de letterlijke wettelijke artikelen beschreven:

De lidstaten zorgen ervoor dat essentiële entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 10 000 000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.

De lidstaten zorgen ervoor dat belangrijke entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 7 000 000 EUR of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is

Vanaf wanneer treed NIS2 in?

De NIS2 is op 16 januari 2023 in werking getreden en de lidstaten hebben nu 21 maanden, tot 17 oktober 2024, om de maatregelen ervan in nationaal recht om te zetten. De NIS2 gaat gelden naast sectorspecifieke wetgeving en daar zijn ook veel ontwikkelingen. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.

3 tips voor het voldoen aan de NIS2 richtlijnen

De voorgestelde aanpassingen in de NIS2 laten zien dat organisaties minimaal moeten voldoen aan de basismaatregelen die het Nationaal Cybersecurity Centrum heeft uitgezet.
Om de impact van risico’s van o.a. incidenten te verminderen, is het van belang om al jouw klanten en leveranciers tegen het licht te houden. Stel jezelf de vraag of klanten kunnen worden aangemerkt als essentiële of belangrijke aanbieder onder de NIS2 en/ of worden leveranciers verplicht technische en organisatorische maatregelen te nemen die de beschikbaarheid van de diensten waarborgt.
Elke organisatie kan in directe of indirecte zin te maken krijgen met informatiebeveiligingsincidenten, dus wees hier goed op voorbereid. Bereid jouw organisatie voor en oefen regelmatig! Meer info over oefenen vind je op onze security awareness pagina.

Status NIS2: 1-2-2023

In een brief aan de tweede kamer waarschuwt Minister van Justitie en Veiligheid Yesilgöz dat het omzetten van de NIS2 naar nationale wetgeving langer duurt dan verwacht. Hierom stelt ze dat de implementatie deadline niet gehaald gaat worden. Daarnaast wordt ook de CER-richtlijn, voor het beschermen van kritieke infrastructuur, niet op tijd gehaald. Dit zou oorspronkelijk 17 oktober van 2024 zijn. Dit betekent dus ook dat de implementatiewetten niet op de tot-nu-toe gecommuniceerde datum in werking zullen gaan treden of nageleefd hoeven te worden.

Waarom duurt het zolang?

Een belangrijk aspect van de NIS2, tegenover de voormalige NIS, is de uitbreiding van sectoren. Er vallen veel meer bedrijven onder de NIS2 dan onder de NIS, waardoor toezicht en handhaving een grote uitdaging is geworden. Toezichthouders en autoriteiten van verschillende sectoren zijn flink aan het afstemmen hoe de communicatie tussen verschillende instanties kan worden ingericht.

Dit grote samenwerkingsverband is tot nu toe nog ongekend, en brengt daarom een groot vraagteken met zich mee.

Wat kan een organisatie doen ter voorbereiding?

Er wordt geleidelijk materiaal uitgebracht om organisaties een stuk op weg te helpen. Zo heeft het Nationaal Cyber Security Centrum (NCSC) een flowchart uitgebracht waarin een organisatie kan vaststellen of ze zichzelf moeten registeren onder de NIS2.

Registeren zal uiteindelijk kunnen via MijnNCSC (https://www.ncsc.nl/over-ncsc/mijn-ncsc). Organisaties zullen middels eHerkenning hun organisaties kunnen registeren, incidenten melden en zien welke toezichthouder en autoriteit voor hun sector geldt.

En nu?

Wel wordt er gesteld dat het traject richting de consultatie van de conceptwetsvoorstellen bevindt zich in een afrondende fase. De conceptwetgeving zal naar verwachting voor de zomer van 2024 in consultatie worden gebracht.

Huidige status NIS2: 21-05-2024

Op 21 mei 2024 is de internetconsultatie van de NIS2 (nu ook wel: Cyberbeveiligingswet) en de Wet weerbaarheid kritieke entiteiten van start gegaan. De consultatieperiode loopt tot 2 juli 2024. Het doel van de consultatie is een zo groot mogelijke groep van burgers, bedrijven en instellingen betrekken bij de totstandkoming van de Nederlandse wetgeving.

Na afloop van de consultatieperiode worden alle reacties beoordeeld en wordt eventueel het wetsvoorstel aangepast. Via www.internetconsultatie.nl kan iedereen suggesties doen voor verbetering van de wet- en regelgeving.

Wat zijn de highlights die bedrijven alvast moeten weten

De wet legt vooral de verantwoordelijkheden en rollen van de toezichthouders en autoriteiten vast. Alle sectoren beschikken nu over een bevoegde autoriteit. Hierbij een overzicht van alle sectoren en de bevoegde autoriteit:

Overzicht NIS2 sectoren en de bevoegde autoriteiten.

Geschreven door: Marloes de Bruin

Meer informatie over NIS2?

Ga het gesprek aan met een Security specialist van Surelock
Voldoe aan de eisen anno 2024
Surelock is ISO27001 gecertificeerd en lid van Cyberveilig Nederland

Delen:

Veel gestelde vragen

Wat is NIS2?

NIS staat voor Network and Information Systems en is de eerste EU-wetgeving op het gebied van cybersecurity. Op dit moment is er NIS 1. De volgende versie NIS2 verhoogt de cyberbeveiligingseisen in heel Europa en is van toepassing op meer sectoren. De richtlijn richt zich niet alleen op grote organisaties, maar treft ook MKB bedrijven die essentiële diensten leveren.

Wie valt onder NIS2?

De oorspronkelijke NIS (1) bestreken sectoren als energie, drinkwater en het bankwezen. NIS2 breidt de lijst met belangrijke sectoren mooi uit, waaronder overheidsdiensten, food en managed service providers

Waarom NIS2?

NIS2 is een verhoging van de Cybersecurity eisen in Europa en zorgt ervoor dat niet alleen meer de essentiële bedrijven zoals energie, drinkwater en het bankwezen moeten voldoen aan richtlijnen. Ook moeten met de NIS2 overige essentiële bedrijven aan deze richtlijn voldoen. Dit zorgt voor een betere totale cyberbeveiliging.

Fam. Pompstra

19 juli 2024

Goede cursus en goede begeleiding. Vragen worden snel beantwoord.

Jos Meessen

Jessica van Kempen

4 juli 2024

Heel fijn om het hele team scherp te houden.

Pyretta Wijnia

2 juli 2024

Tess Kalsbeek

28 juni 2024

Kruiswerk Achterhoek en Liemers

24 juni 2024

Armin Jansen

21 juni 2024

Goed tegen phishing, goede spamfilter!

Ian Cressie

19 juni 2024

Cybercriminelen passen zich aan nieuwe ontwikkelingen en dit vraagt aandacht en alertheid van de "prooi". Cyber Fit Service houd je scherp.

jan willem brier

15 juni 2024

Nuttige dienst. Ook al ben je een ervaren gebruiker is het toch goed alles nog eens door te lopen.

saskia lich

9 juni 2024

Ik heb meegedaan aan Univé Cyber Fit Service. Was wel leerzaam om zaken weer even op te halen. Vind het alleen bijzonder dat er al een week geen reactie terugkomt op verschillende mailtjes die ik heb gezonden. Ik merkte dat bij de te maken vragen alle plaatjes niet zichtbaar zijn en dus de vragen niet te maken zijn!

Reinier en Pleuni van de Pol

9 mei 2024

Ahmed Aynaou

4 mei 2024

Inge van der Veen

1 mei 2024

Ik heb vorig jaar aan de Cyber Fit Service meegewerkt. Ik ben mij nog meer bewust van online cybercrime, maar had soms nog wel dieper op de materie in willen gaan. Dus ik hoop dat dit vervolg mij nog meer inzicht geeft hoe we ons als persoon en/of bedrijf kunnen wapenen tegen cybercrime.

Luit van Hunenstijn

23 april 2024

klaas schoemaker

11 april 2024

Droogijsstralen Nederland

Onlangs een cursus via Univé gevolgd genaamd Cyber Fit Service. Aanzienlijk meer security awareness gekregen. aanrader!

sven van sligter

Cybersecurity vraagt constant je aandacht omdat cybercrime constant op de loer ligt. Je moet aan steeds meer zaken denken en controleren. Surelock helpt je daar echt bij.