De NIS2 richtlijn is een nieuwe Europese wetgeving die strengere eisen stelt aan de cyberbeveiliging van bedrijven en organisaties in vitale sectoren.
Cyberaanvallen vormen een steeds grotere bedreiging voor de veiligheid en continuïteit van onze samenleving. Denk bijvoorbeeld aan de recente ransomware-aanval op de Colonial Pipeline in de VS, die leidde tot een tekort aan brandstof in grote delen van het land. Of de SolarWinds-hack, die duizenden organisaties wereldwijd trof, waaronder overheidsinstanties en bedrijven.
Om de cyberweerbaarheid van de Europese Unie te versterken, heeft de Europese Commissie in december 2020 een voorstel gedaan voor een herziene richtlijn voor netwerk- en informatiebeveiliging (NIS2). Deze richtlijn bouwt voort op de bestaande NIS-richtlijn uit 2016, die als eerste EU-wetgeving op het gebied van cybersecurity gold.
De NIS2-richtlijn stelt strengere eisen aan de cyberbeveiliging van bedrijven en organisaties die essentiële of belangrijke diensten leveren in vitale sectoren, zoals energie, transport, gezondheidszorg, financiën, digitale infrastructuur en voedselvoorziening. De richtlijn verplicht deze entiteiten om passende maatregelen te nemen om cyberrisico’s te beheersen, incidenten te melden en samen te werken met nationale autoriteiten.
Hieronder leggen we uit wat de NIS2-richtlijn inhoudt, voor wie het geldt en hoe u zich erop kunt voorbereiden.
Wat houdt de NIS2-richtlijn in?
De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.
De belangrijkste wijzigingen ten opzichte van de huidige NIS-richtlijn zijn:
Uitbreiding van het toepassingsgebied
De NIS2-richtlijn breidt het aantal sectoren waarop de richtlijn van toepassing is uit van zeven naar zeventien. De nieuwe sectoren zijn onder andere voedselproductie, afvalbeheer, overheidsdiensten, bankwezen en ruimtediensten. Bovendien worden ook digitale dienstverleners zoals cloud computing providers, online marktplaatsen en zoekmachines onder de richtlijn geschaard.
De richtlijn maakt onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zijn organisaties die diensten leveren die cruciaal zijn voor het functioneren van de samenleving of economie. Belangrijke entiteiten zijn organisaties die diensten leveren die een aanzienlijke impact hebben op het functioneren van de samenleving of economie.
Essentiële entiteiten moeten voldoen aan hogere eisen dan belangrijke entiteiten. Zo moeten zij onder meer proactief toezicht toestaan van nationale autoriteiten en hogere financiële sancties verwachten bij niet-naleving.
Versterking van de beveiligingsvereisten
De NIS2-richtlijn stelt dat alle betrokken entiteiten passende en evenredige technische en organisatorische maatregelen moeten nemen om cyberrisico’s te beheersen en incidenten te voorkomen of te beperken. Deze maatregelen moeten onder meer betrekking hebben op:
- Het identificeren en analyseren van cyberrisico’s;
- Het implementeren van preventieve beveiligingsmaatregelen;
- Het uitvoeren van regelmatige tests en audits;
- Het waarborgen van bedrijfscontinuïteit;
- Het trainen en bewust maken van personeel;
- Het beheren van leveranciersrelaties.
De richtlijn geeft ook aan dat entiteiten rekening moeten houden met internationale normen en beste praktijken op het gebied van cybersecurity (zoals bijvoorbeeld de ISO27001, NEN7510 en/of BIO).
Harmonisatie van de meldplicht
De NIS2-richtlijn verplicht alle betrokken entiteiten om cyberincidenten die een aanzienlijke of substantiële impact hebben op hun dienstverlening te melden bij nationale autoriteiten binnen 24 uur na ontdekking. De richtlijn geeft criteria voor het bepalen van de impact van incidenten, zoals het aantal getroffen gebruikers, de duur en geografische reikwijdte van het incident, en de mate van verstoring of schade.
De richtlijn harmoniseert ook de meldplicht voor digitale dienstverleners in alle lidstaten. Dit betekent dat zij niet langer verschillende meldprocedures hoeven te volgen in verschillende landen waar zij actief zijn.
Verhoging van de sancties
De NIS2-richtlijn verhoogt de sancties voor niet-naleving van de beveiligingsvereisten of meldplicht. De richtlijn stelt dat lidstaten effectieve, evenredige en afschrikkende sancties moeten vaststellen die gebaseerd zijn op een percentage van de wereldwijde omzet of jaarlijkse inkomsten van entiteiten.
Voor essentiële entiteiten geldt een maximumpercentage van 10%, terwijl voor belangrijke entiteiten een maximumpercentage van 2% geldt. Daarnaast kunnen lidstaten ook andere sancties opleggen, zoals waarschuwingen, tijdelijke verboden of intrekkingen van vergunningen.
Voor wie geldt de NIS2-richtlijn?
De NIS2-richtlijn geldt voor alle bedrijven en organisaties die essentiële of belangrijke diensten leveren in een of meer van de volgende sectoren:
Essentiële sectoren | Belangrijke sectoren |
Energie | Voedselproductie |
Transport | Afvalbeheer |
Bankwezen | Chemische industrie |
Financiële marktinfrastructuur | Postdiensten |
Gezondheidszorg | Productie |
Drinkwater | Digitale infrastructuur |
Afvalwater | Online marktplaats |
Digitale infrastructuur | Online zoekmachine |
Overheidsdiensten | Cloud computing service |
Ruimtediensten |
Of uw organisatie valt onder de reikwijdte van de NIS2-richtlijn hangt af van een aantal factoren, zoals de omvang, het belang en de afhankelijkheid van uw dienstverlening voor de samenleving of economie. De exacte criteria en drempelwaarden zullen worden vastgesteld door de nationale autoriteiten in overeenstemming met de richtlijn.
Als u twijfelt of uw organisatie onder de NIS2-richtlijn valt, kunt u contact opnemen met de bevoegde nationale autoriteit voor meer informatie. In Nederland is dat het Nationaal Cyber Security Centrum (NCSC).
Hoe verloopt het implementatieproces van de NIS2-richtlijn?
De NIS2-richtlijn is een EU-richtlijn die moet worden omgezet in nationale wetgeving door de lidstaten. Dit proces duurt ongeveer 21 maanden en kent verschillende stappen. In deze blog geven we een overzicht van de belangrijkste mijlpalen in het implementatieproces van de NIS2-richtlijn in Nederland. Dit is een indicatieve planning, die nog kan wijzigen. Eventuele wijzigingen zullen hier gepubliceerd worden.
De voorlopige planning ziet er als volgt uit:
- 2022: De NIS2-richtlijn is vastgesteld door de Europese Raad en gepubliceerd in de Official Journal van de Europese Unie. Dit betekent dat de richtlijn officieel in werking is getreden en dat de lidstaten kunnen beginnen met het voorbereiden van de nationale wetgeving.
- 2023: De implementatietermijn van 21 maanden is gestart, waarin de richtlijn moet worden opgenomen in nationale wetgeving. In deze periode wordt er een wetsvoorstel opgesteld, dat ter consultatie wordt voorgelegd aan burgers, bedrijven en overheidsinstellingen. De resultaten van de consultatie worden verwerkt in het wetsvoorstel, dat vervolgens wordt ingediend bij het parlement.
- 2024: Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het parlement is behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
Wat zijn de belangrijke data voor de NIS2-richtlijn?
De NIS2-richtlijn bevat een aantal belangrijke data en deadlines voor de lidstaten, de Europese Commissie, ENISA en andere betrokken partijen. Hieronder vindt u een overzicht van de belangrijkste data:
Datum | Actie |
September 2024 | Uiterste datum voor de lidstaten om de NIS2-richtlijn om te zetten in nationale wetgeving |
September 2024 | Datum waarop de NIS-richtlijn wordt ingetrokken |
Juli 2024 | Uiterste datum voor EU-CyCLONe om een verslag in te dienen bij het Europees Parlement en de Raad over zijn werkzaamheden |
Oktober 2024 | Uiterste datum voor de Europese Commissie om uitvoeringshandelingen vast te stellen met betrekking tot de technische en methodologische vereisten van de maatregelen voor bepaalde digitale dienstverleners |
Januari 2025 | Uiterste datum voor de Samenwerkingsgroep om de methodologie en organisatorische aspecten vast te stellen voor peer reviews |
April 2025 | Uiterste datum voor de lidstaten om een lijst op te stellen van essentiële en belangrijke entiteiten alsmede entiteiten die domeinnaamregistratiediensten aanbieden |
April 2025 | Uiterste datum voor de bevoegde autoriteiten om het aantal essentiële en belangrijke entiteiten per sector te melden |
Oktober 2027 | Uiterste datum voor de Europese Commissie om een evaluatie uit te voeren naar de werking van de NIS2-richtlijn |
Hoe kunt u zich voorbereiden op de NIS2-richtlijn?
De NIS2-richtlijn is een belangrijke stap voor het verhogen van de cyberweerbaarheid van de EU en het beschermen van vitale diensten tegen cyberaanvallen. Als uw organisatie onder de richtlijn valt, moet u zich nu al gaan voorbereiden op de naleving ervan.
Hier zijn enkele stappen die u kunt nemen om uw organisatie klaar te maken voor de NIS2-richtlijn:
- Voer een analyse uit:
Breng uw huidige cyberbeveiligingsniveau in kaart en identificeer eventuele hiaten of verbeterpunten. - Beheersplan opstellen:
Stel een cyberrisicobeheerplan op dat aansluit bij uw organisatiedoelstellingen en -processen. - Implementeer beheersmaatregelen:
Implementeer passende en evenredige beveiligingsmaatregelen die voldoen aan de eisen van de richtlijn en internationale normen en beste praktijken. - Stel een incident response plan op:
Zorg voor een effectief incident response plan dat duidelijke rollen, verantwoordelijkheden en procedures bevat. - Testen en evaluatie:
Test en evalueer regelmatig uw beveiligingsmaatregelen, incident response plan en bedrijfscontinuïteit. - Interne opleiding:
Test en evalueer regelmatig uw beveiligingsmaatregelen, incident response plan en bedrijfscontinuïteit. - Rapportage:
Monitor en rapporteer cyberincidenten die een impact hebben op uw dienstverlening aan de nationale autoriteiten binnen 24 uur na ontdekking. - Samenwerking met alle belanghebbenden:
Werk samen met uw leveranciers, klanten en andere stakeholders om uw cyberweerbaarheid te versterken en te leren van elkaars ervaringen.
Hoe kunnen wij u helpen?
De NIS2-richtlijn is een complexe en uitdagende wetgeving die veel vraagt van uw organisatie op het gebied van cyberbeveiliging. Het naleven van de richtlijn vergt niet alleen technische expertise, maar ook strategisch inzicht, organisatorische verandering en continue verbetering.
Als u hulp nodig heeft bij het voorbereiden op de NIS2-richtlijn, kunt u rekenen op onze ervaren informatiebeveiliging consultants. Wij kunnen u ondersteunen bij het:
- Analyseren van uw huidige cyberbeveiligingsniveau en het identificeren van verbeterpunten
- Opstellen en implementeren van een cyberrisicobeheerplan dat voldoet aan de eisen van de NIS2-richtlijn
- Adviseren over passende en evenredige beveiligingsmaatregelen die aansluiten bij uw organisatie
- Testen en auditen van uw beveiligingsmaatregelen, incident response plan en bedrijfscontinuïteit
- Trainen en sensibiliseren van uw personeel over cyberbeveiliging en de NIS2-richtlijn
- Ondersteunen bij het melden van cyberincidenten aan de nationale autoriteiten
- Samenwerken met uw leveranciers, klanten en andere stakeholders om uw cyberweerbaarheid te versterken
De consultants van Samoerai hebben ruime ervaring met het adviseren en begeleiden van organisaties in verschillende sectoren op het gebied van cyberbeveiliging. Wij zijn op de hoogte van de laatste ontwikkelingen en trends op dit gebied en kunnen u helpen om te voldoen aan de NIS2-richtlijn.
Wilt u meer weten over hoe wij u kunnen helpen? Neem dan vrijblijvend contact met ons op voor een gratis adviesgesprek met een van onze informatiebeveiliging consultants. Wij staan klaar om al uw vragen te beantwoorden.
Meer weten over de NIS2-richtlijn?
Onze ervaren consultants helpen je graag! Neem contact op en ons team komt er binnen 24 uur op terug.