De NIS2-richtlijn, ook voor u?!
Er is veel te lezen over de NIS2 als uitbreiding op de voorgaande NIS-richtlijn. Wat is deze NIS2, voor welke sectoren geldt hij en wat kan de NIS2 voor gevolgen voor u geven.
Wat is de NIS2
De “NIS 2-richtlijn”, of kortweg “NIS2”, is een cyberbeveiligingswet van de Europese Unie. Deze richtlijn specificeert cyberbeveiligingsvereisten die moeten worden geïmplementeerd door EU-bedrijven die worden beschouwd als kritieke infrastructuur. De richtlijn werd al gepubliceerd op 14 december 2022 en is een vervangt de voorgaande NIS-richtlijn. ‘NIS’ is een afkorting van Netwerk- en Informatie Systemen.
NIS2 is belangrijk omdat het strenge cyberbeveiligingseisen stelt aan een groot aantal bedrijven in de Europese Unie – volgens sommige schattingen zullen meer dan 100.000 bedrijven in de Europese Unie NIS2-compliant moeten worden. Hoewel NIS2 niet voor zoveel bedrijven geldt als bijvoorbeeld de GDPR (AVG) van de EU, zal het zeker een de facto standaard worden voor kritieke infrastructuur die andere (niet-EU) landen zullen navolgen – een zeer vergelijkbaar scenario heeft zich al voorgedaan in niet-EU-landen met privacyregelgeving die veel lijkt op de GDPR van de EU.
Wanneer geldt de NIS2
Organisaties binnen ondergenoemde sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.
- Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
- Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek
Organisaties onder de NIS2 worden minimaal als “belangrijke entiteit” aangemerkt. Organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Deze krijgen te maken met strenger toezicht en handhaving dan de belangrijke entiteiten.
Check of de NIS2 geldt op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Geldt de NIS2 ook voor overheidsinstanties
Naast organisaties geldt de NIS2 ook voor onderdelen van de centrale overheid (Rijksoverheid) als essentiële entiteiten. Zelfstandige bestuursorganen vallen onder de werking van NIS2 voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn. De verwachting is dat dit geldt voor het overgrote deel van zelfstandige bestuursorganen die onder de Kaderwet zelfstandige bestuursorganen vallen.
Het is aan de lidstaten zelf om een afweging te maken of lokale overheden (gemeenten, waterschappen en provincies) onder de NIS2-richtlijn vallen. Voor Nederland geldt dat lokale overheden onder de richtlijn worden aangewezen als essentiële entiteiten. Medeoverheden zijn ook verantwoordelijk voor het aanbieden van meerdere essentiële diensten, zoals het wegbeheer of de afvalwater-voorziening, en vallen om die reden ook onder de reikwijdte van de NIS2. Tevens vallen gemeenschappelijke regelingen onder de werking van de richtlijn, voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn.
Onderdelen van de NIS2
De belangrijkste onderdelen van de NIS2 zijn onder te verdelen in een viertal themas, te weten:
- Zorgplicht, om hun diensten zoveel mogelijk te waarborgen en gebruikte informatie te beschermen. Denk aan risicomanagement waaronder minimaal benoemd zaken als opleiding, cryptografie, MFA, BCP en supply chain.
- Registratieplicht, denk aan meting, logging, auditting en incidentenmanagement.
- Meldplicht van incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Net als bij de AVG zal er een toezichthouder worden aangewezen die naast ondergenoemde toezicht ook incidenten zal ontvangen en opvolgen. Daarnaast komt er een CSIRT (Computer Security Incident Response Team).
- Toezicht, op de naleving van de verplichtingen uit de richtlijn. Voor de NIS was dit de NCSC. vanuit de uitwerking van de Europese NIS2 zal blijken welke sectoren onder welke toezichthouder komt te vallen.
Wat betekend dit voor uw organisatie?
Feit zal zijn dat ook bedrijven die primair niet onder de NIS2 vallen vanuit kun klant worden ‘meegenomen’ in deze NIS-eisen. Tenslotte is vanuit risicomanagement en de genoemde ‘zorgplicht’ de keten van belang. Momenteel dient de NIS2 nog vertaald te worden naar lokale, Nederlandse, wetgeving waarmee de ‘algemene’ eisen in de Europese richtlijn vertaald worden naar meer concrete en toetsbare eisen.
Nu al starten met een eerste voorbereiding is zeer gewenst. Een werkwijze conform de NIS2 is namelijk niet in 2-3 maanden neer te zetten. Heeft u al een ISO 27001-certificering of bent u hiermee bezig, dan heeft u al een zeer goede basis, een ISMS, staan waarin de NIS2 opgenomen kan worden.
Wilt u nu al starten met een eerste inventarisatie en inrichten van uw bedrijfsvoering naar de NIS2 neem dan vrijblijvend contact op voor een oriëntatiegesprek en toelichting van onze doelgerichte werkwijze.
Meer informatie
https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/
Laten we kennis maken!
Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement en certificering op een werkbare en effectieve wijze. Heeft u een vraag of reactie voor Van Voorst Consult? Wij helpen u graag. Neem vrijblijvend contact op via het formulier.