De NIS2-richtlijn reguleert bedrijven en overheden op het gebied van cyber- en informatiebeveiliging. De richtlijn wordt vertaald in nationale uitvoeringsbesluiten en fungeert als bindende wet: bedrijven en organisaties die binnen de reikwijdte vallen, moeten voldoen aan de vereisten. NIS2 breidt niet alleen de vereisten aan cybersecurity, maar komt ook met strengere eisen voor verschillende sectoren. Daarom delen wij deze informatie met je. Gaat NIS2 ook voor jouw organisatie gelden?
In Nederland zal NIS2 ingaan per september 2024, met verwachte naleving vanaf het derde kwartaal van volgend jaar.
AANVULLENDE EISEN VOOR DIGITALE VEILIGHEID
NIS2 gaat een stap verder dan NIS 1 door beveiligingseisen vast te stellen voor belangrijke en kritieke sectoren. Dit omvat de certificering van producten, diensten en processen in het kader van specifieke EU-certificeringsregelingen op het gebied van cyberbeveiliging.
In de NIS-2-richtlijn zal eenvoudigweg worden bepaald (zie artikel 18) dat entiteiten moeten beschikken over: plannen voor incidentenbeheer, activiteitencontinuïteitsplannen en crisisbeheersplannen, beleidsmaatregelen en procedures om de doeltreffendheid van deze maatregelen te beoordelen, alsook beleidsmaatregelen inzake het gebruik van cryptografie, de beveiliging van personeel, het gebruik van passende authenticatiesystemen en het beheer van de bevoorradingsketen
VERSCHIL TUSSEN NIS1 en NIS2
De eerste versie van NIS (NIS1) kent twee categorieën sectoren, namelijk kritieke (essentiële) of kritische infrastructuur en digitale dienstverleners. NIS 2 wordt veel breder ingezet en een aantal van deze sectoren nu anders genoemd. Daarnaast wordt het aantal sectoren uitgebreid en duidelijk welke aanbieders daar nu onder vallen. Doordat NIS 2 nu uniforme regels introduceert, betekent dit dat de lidstaten essentiële aanbieders niet langer individueel hoeven aan te wijzen.
VOOR WIE?
Een organisatie die in één van deze (onderstaand) sectoren actief is en (in haar laatste twee boekjaren) meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro had (d.w.z. grote of middelgrote ondernemingen), zal aan de voorschriften van de richtlijn moeten voldoen.
Naast de “essentiële sectoren” definieert NIS2 nu een tweede categorie, de “belangrijke sectoren”. Het verschil tussen “essentieel” en “belangrijk” ligt in de mate van toezicht. Op essentiële sectoren wordt proactief toezicht uitgeoefend, terwijl op belangrijke sectoren reactief toezicht wordt uitgeoefend.
VOORBEREIDEN OP NIS2-RICHTLIJN?
- Beoordeel of je onder de NIS2-richtlijn zult vallen;
- Identificeer hiaten met betrekking tot de vereisten van de richtlijn;
- Stel vast welke maatregelen nodig zijn om aan de verplichtingen in het management te voldoen;
- Ontwerp een sterk cybersecurity-kader dat organisatorische en technische maatregelen omvat;
- Implementeer zowel organisatorische als technische maatregelen in jouw bedrijf;
- Ontwerp en implementeer monitoringmechanismen om de effectiviteit van de maatregelen continu te valideren.
