NIS2 | CYBERWET VOOR EUROPA
In juni 2016 heeft de Europese wetgever de NIS1-richtlijn aangenomen om de cyberbeveiliging van essentiële diensten in EU-lidstaten te verbeteren. NIS staat in het Nederlands voor Netwerk- en Informatiebeveiligingsrichtlijn. In de jaren daarna zijn er ontwikkelingen die de veiligheid van onze maatschappij en economie steeds meer onder druk zetten. Zoals de pandemie, oorlogen, cyberdreigingen en de impact van klimaatverandering. Om hierop te reageren, is vanuit de Europese Unie aan de NIS2 gewerkt.Wat houdt de NIS2 in?
De NIS2 is een aangescherpte regelgeving met strengere eisen op het gebied van zorgplicht, registratieplicht, meldplicht en toezicht om passende maatregelen te nemen op het gebied van cybersecurity. De richtlijn bevat een lijst met minimale basisbeveiliging die bedrijven moeten toepassen en legt een aanpak voor risicobeheersing op. Niet alleen essentiële maar ook ‘belangrijke’ bedrijven moeten zich aan de richtlijn gaan houden. Dat moet de cybersecurity verbeteren bij een groter aantal middelgrote tot grote bedrijven. De Nederlandse overheid mag daarnaast ook kleinere bedrijven met een hoog veiligheidsrisico aanwijzen die aan de richtlijn moeten voldoen. De NIS2-richtlijn dwingt daarmee bepaalde organisaties de cybersecurity goed op orde te hebben.VERPLICHT IN 2024
Vastgesteld is dat de securitywet in 2024 verplicht is en EU-lidstaten tot 17 oktober 2024 de tijd hebben om de nationale regels op de Europese standaard aan te passen. In tijd van schrijven is in Nederland de voorbereiding op de consultatie van de implementatie uitgelopen waardoor de deadline niet zal worden gehaald. Dit betekent niet dat organisaties die het betreft vrijgesteld zijn van de bij de NIS2 horende verplichtingen.Essentiële en belangrijke bedrijven
De nieuwe richtlijn verdeelt bedrijven tussen essentiële en belangrijke sectoren. Essentiele sectoren zijn de zorg, vervoer, banken, energie, drinkwater, afvalwater, financiële markten, digitale infrastructuur, openbare besturen en ruimte. Onder belangrijke sectoren vallen: post- en koeriersdiensten, verwerking en distributie, afvalbewerking, digitale aanbieders, productiebedrijven, chemische industrie en de voedselindustrie.VALT JOUW BEDRIJF ONDER DE NIS2?
Informatie over de sectoren en criteria die bepalen of een organisatie onder de NIS2 valt kun je vinden op deze website van de overheid. Wil je gelijk testen of de richtlijn op jouw organisatie van toepassing is, dan kan dat op deze website.De belangrijkste verplichtingen
De NIS2 brengt dus drie verschillende verplichtingen met zich mee: zorgplicht, meldplicht en registratieplicht. En daar moet toezicht op worden gehouden. Deze onderdelen lichten we kort toe.
Organisaties moeten een risicobeoordeling uitvoeren op het gebied van cybersecurity en maatregelen nemen om deze risico’s te beheren, incidenten te voorkomen en de gevolgen van incidenten te bepreken.
Het NCSC (Nationaal Cyber Security Center) heeft hier een informatiesheet (pdf) over opgesteld.
De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit wanneer ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor de dienstverlening. Een melding van zo’n incident heet een Wbni-melding. Wbni staat voor de Wet beveiliging netwerk- en informatiesystemen.
Meer informatie over meldplicht, de definitie van een incident en bij welke partijen dit gemeld moet worden staan op deze website van de overheid.
Wanneer de organisatie valt onder de NIS2 dan is de registratie verplicht. Hierdoor moet er een Europees breed beeld ontstaan van het aantal organisaties dat onder de NIS2-richtlijn valt.
Organisaties die onder de NIS2 vallen, komen onder toezicht te staan. De richtlijn vermeldt dat er daar waar nodig doeltreffende, evenredige en afschrikwekkende sancties worden opgelegd bij overtreding. Bij het niet naleven kunnen boetes worden opgelegd die oplopen tot:
* voor essentiële entiteiten: 10 miljoen of 2% van de wereldwijde jaaromzet.
* voor belangrijke entiteiten: 7 miljoen of 1,4% van de wereldwijde jaaromzet.
