Alles wat je wil weten over NIS2

Geplaatst 21-03-23

Cyberaanvallen zijn op dit moment top-of-mind bij wetgevers vanwege de toenemende spanningen en economische onzekerheid in Europa. De oorlog tussen Rusland en Oekraïne heeft laten zien hoeveel schade kwaadwillende partijen kunnen aanrichten aan vitale infrastructuur.

Als reactie hierop is op 16 januari 2023 de nieuwe EU-brede cyberwetgeving, Richtlijn 2022/2555 (NIS2), vastgesteld. Naar verwachting zal deze veel invloed hebben op de bestaande cybersecurity-richtlijnen. 

We bespreken vier belangrijke zaken die je moet weten over NIS2. Zo ben je goed voorbereid op wat er komen gaat. 

Nieuwe richtlijn NIS2

Nieuwe richtlijn NIS2

Alle EU-lidstaten hebben tot 18 oktober 2024 de tijd om de nieuwe richtlijn om te zetten in nationale wetgeving. De NIS2 is uitgebreider dan zijn voorganger en er komen aanzienlijke boetes voor niet-naleving. De richtlijn richt zich primair op het verbeteren en handhaven van de cybersecurity bij essentiële en belangrijke organisaties, die beide worden gedefinieerd in de richtlijn.

Ook voor kleine organisaties

Ook voor kleine organisaties

Zelfs als je een kleine organisatie bent, kan je onder de reikwijdte van NIS2-wetgeving vallen. De richtlijn richt zich namelijk op het verbeteren van cybersecurity voor alle organisaties die essentieel of belangrijk zijn. Dit type organisatie levert goederen en diensten die noodzakelijk zijn voor sociale en economische verkeer.

Zelfs als je niet aan de financiële drempels voldoet, kan de richtlijn toch invloed hebben op je bedrijfsvoering bijvoorbeeld omdat je onderdeel bent van een toeleveringsketen. 

Verplichte meldingen gefaseerd en gedetailleerd

Verplichte meldingen gefaseerd en gedetailleerd

De meldingsplicht(en) die in NIS2 worden beschreven zijn gefaseerd en gedetailleerd beschreven, met bijbehorende termijnen. Zie bijvoorbeeld de drie niveaus van rapportage als er zich een cybersecurity-inbreuk voordoet:

  • 24 uur voor een eerste notificatie
  • 72 uur voor een melding waarin duidelijk de ernst en de impact wordt toegelicht
  • 1 maand voor een evaluatie rapport met oorzaak analyse.

Zo wil NIS2 afdwingen dat de organisatie de tijd en moeite neemt om zich pro-actief voor te bereiden op eventuele toekomstige incidenten. 

Wil je een effectief ISMS?

Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor informatiebeveiliging (en privacy).

Wil je een effectief ISMS?
Directie is verantwoordelijk - en aansprakelijk

Directie is verantwoordelijk - en aansprakelijk

Sancties voor het niet naleven van maatregelen in NIS2 zullen direct impact hebben op de bestuurders. De richtlijn definieert niet wat een leidinggevend orgaan is, maar de raad van bestuur zal daar waarschijnlijk zeker onder vallen.

Cyberbeveiliging is dus niet alleen een zakelijk risico, maar moet ook in zakelijke termen worden gecommuniceerd om de begripskloof te overbruggen.

Meer bevoegdheden en handhaving

Meer bevoegdheden en handhaving

Regulerende instanties krijgen meer bevoegheden voor toezicht en zware middelen voor handhaving. Dat betekent eigenlijk dat je organisatie voortdurend onder een vergrootglas zal liggen. De richtlijn staat fysieke inspecties, beveiligingsaudits en zelfs toegang tot je data toe om cybersecurityrisicobeheermaatregelen te toetsen. Ook de eventuele boetes zijn zeer hoog en ingrijpend.

NIS2 voorziet in zware sancties voor het niet-naleven, afhankelijk van de categorie waaronder je organisatie valt: essentiële entiteiten: 10 miljoen euro of 2% van de wereldwijde omzet (afhankelijk van wat hoger is); belangrijke entiteiten: 7 miljoen euro of 1,4% van de wereldwijde omzet (afhankelijk van wat hoger is). 

Het pad van Europese richtlijn naar Nederlandse wetgeving

Al sinds 2022 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. Daarvoor doorlopen we de volgende stappen:

De NIS2-richtlijn wordt formeel vastgesteld door de Europese Raad.

Publicatie van de NIS2-richtlijn in de Official Journal van de Europese Unie.

Aanvang van de implementatietermijn van 21 maanden. Gedurende deze periode is de Rijksoverheid verantwoordelijk voor het integreren van de richtlijn in de Nederlandse wetgeving.

Dit is de start van een internetconsultatie-periode van 6 weken. In deze fase kunnen burgers, bedrijven en overheidsinstanties suggesties ter verbetering doen voor de implementatie van NIS2 in de Nederlandse wet. De resultaten van deze consultatie worden gepubliceerd en indien mogelijk opgenomen in de Nederlandse interpretatie van de richtlijn.

De exacte startdatum van de consultatie wordt nog bekendgemaakt.

Naar verwachting zal de nieuwe wet nu in werking treden, volgend op de behandeling en goedkeuring door het Nederlandse parlement. Vanaf dit moment zullen de organisaties die onder de NIS2-richtlijn vallen, moeten voldoen aan de vastgestelde zorg- en meldplicht.

Regelmatige updates over de NIS2 op je tijdlijn? Volg TrustBound GRC op LinkedIn!

Informatiebeveiliging op orde met TrustBound GRC

Om er zeker van te zijn dat je compliant bent met de nieuwe wet- en regelgeving kan het een goed idee zijn om gebruik te maken van handige, overzichtelijke en gemakkelijke tools op de informatiebeveiliging te organiseren.

TrustBound GRC biedt de benodigde frameworks en praktische handvatten die bedrijven en organisaties nodig hebben om zichzelf te organiseren en beschermen.. Bekijk onze functies of plan een demo voor onze complete GRC-tool

Vertrouwd door meer dan 1000 privacy en security professionals wereldwijd

Alles over het verwerkingsregister

Een uitgebreide, maar toegankelijke tool voor het vastleggen van processen, verzoeken van betrokkenen en datalekken.

Meer informatie

Compliance Dashboard

De stand van zaken van gegevensbescherming in jouw organisatie samengevat in een begrijpelijke weergave.

Meer informatie

Risico's en maatregelen

Alle risico's vertaald in een aanpak en planning.

Meer informatie

Risicoanalyse

Het overzicht van risico's in jouw organisatie samengevat in een begrijpelijke weergave.

Meer informatie

Kennisbank

Alle in- en externe documenten op één plek verzameld. De kennisbank wordt geleverd met een set basisdocumenten, die je kunt aanvullen met interne kennis en afspraken met leveranciers.

Meer informatie

Audit en toezicht

De module voor audit en toezicht is ontwikkeld om jouw beleid voor de korte en de lange termijn te borgen.

Meer informatie

Normen en toetsingskaders

ISO 27001, NEN 71510, BC5701, Toetsingskader PO/VO, BIO en meer...

Meer informatie

Werkpakketten

Met Werkpakketten organiseer je haalbare compliance doelen.

Meer informatie

Privacy Smarthub

Dé catalogus voor privacy- en securityprofessionals met kennis over Organisaties, Bedrijfsmiddelen, Processen en verwerkingen.

Meer informatie

MAPGOOD in de praktijk met TrustBound GRC

Meer informatie

API voor data-analyse

Het overzicht van risico's in jouw organisatie samengevat in een begrijpelijke weergave.

Meer informatie