Informatiebeveiliging

Voldoen aan de NIS2 richtlijn

Wij helpen u doelgericht aan de NIS2 te voldoen. Onze werkwijze neemt u het werk uit handen en geven praktische uitwerkingen voor ieder onderdeel van de wetgeving.

Gratis adviesgesprek

Wat is de NIS2

De “NIS 2-richtlijn”, of kortweg “NIS2”, is een cyberbeveiligingswet van de Europese Unie. Deze richtlijn specificeert cyberbeveiligingsvereisten die moeten worden geïmplementeerd door EU-bedrijven die worden beschouwd als kritieke infrastructuur. De richtlijn werd al gepubliceerd op 14 december 2022 en is een vervangt de voorgaande NIS-richtlijn. ‘NIS’ is een afkorting van Netwerk- en Informatie Systemen. Deze richtlijn wordt in Nederland geïmplementeerd als de Cyberbeveiligingswet (Cbw).

NIS2 is belangrijk omdat het strenge cyberbeveiligingseisen stelt aan een groot aantal bedrijven in de Europese Unie – volgens sommige schattingen zullen meer dan 100.000 bedrijven in de Europese Unie NIS2-compliant moeten worden. Hoewel NIS2 niet voor zoveel bedrijven geldt als bijvoorbeeld de GDPR (AVG) van de EU, zal het zeker een de facto standaard worden voor kritieke infrastructuur die andere (niet-EU) landen zullen navolgen – een zeer vergelijkbaar scenario heeft zich al voorgedaan in niet-EU-landen met privacyregelgeving die veel lijkt op de GDPR van de EU.

Boetes kunnen oplopen tot €10 miljoen of 2% van de totale wereldwijde jaaromzet. Belangrijk is dat NIS2 ook de verantwoordelijkheid van directieleden benadrukt; zij kunnen hoofdelijk aansprakelijk worden gesteld bij incidenten.

Wanneer geldt de NIS2

Organisaties binnen ondergenoemde sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

  • Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
  • Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

Organisaties onder de NIS2 worden minimaal als “belangrijke entiteit” aangemerkt. Organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Deze krijgen te maken met strenger toezicht en handhaving dan de belangrijke entiteiten.

Check of de NIS2 geldt op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Naast organisaties geldt de NIS2 ook voor onderdelen van de centrale overheid (Rijksoverheid)  als essentiële entiteiten. Zelfstandige bestuursorganen vallen onder de werking van NIS2 voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn.

30 jaar ervaring

Begeleiding op maat

Begeleiding op hoofdlijnen

Onze adviseurs nemen voornamelijk een adviserende rol aan. Hierbij blijft de organisatie verantwoordelijk voor de uitvoering van de benodigde stappen. Een wisselwerking tussen kennisoverdracht en hands-on begeleiding.

Lees meer

Advies en ondersteuning

Aanvullend op het adviestraject, ondersteunen we op onderdelen in de praktische uitvoering. Van Voorst Consult is uitvoerend betrokken en neemt een deel van de implementatie uit handen.

Lees meer

Volledig ontzorgen

Van Voorst Consult neemt ter ondersteuning grote taken en activiteiten uit handen van de organisatie. Denk aan contact met medewerkers en het uitwerken van (delen van) het managementsysteem.

Lees meer

Onderdelen van de NIS2

De belangrijkste onderdelen van de NIS2 zijn onder te verdelen in een viertal themas, te weten:

  • Zorgplicht, om je diensten zoveel mogelijk te waarborgen en gebruikte informatie te beschermen. Denk aan risicomanagement waaronder minimaal benoemd zaken als opleiding, cryptografie, MFA, BCP en supply chain. Ook governance met de nadruk op cybersecurity als verantwoordelijkheid voor bestuur/ directie valt hieronder.
  • Registratieplicht, denk aan meting, logging, auditting en incidentenmanagement.
  • Meldplicht, ernstige cyberincidenten moeten tijdig gerapporteerd worden aan nationale autoriteiten. Dit gaat om incidenten die de verlening van een essentiële dienst aanzienlijk (kunnen) verstoren. Net als bij de AVG zal er een toezichthouder worden aangewezen die naast ondergenoemde toezicht ook incidenten zal ontvangen en opvolgen. Daarnaast komt er een CSIRT (Computer Security Incident Response Team).
  • Toezicht, op de naleving van de verplichtingen uit de richtlijn mogelijk gevolgd door sancties. Voor de NIS werd dit geregeld vanuit de NCSC. Vanuit de uitwerking van de Europese NIS2 zal blijken welke sectoren onder welke toezichthouder komt te vallen.

Wat betekent dit voor uw organisatie?

Hoewel de vertaling van de Europese NIS2-richtlijn naar de Nederlandse Cbw nog tot medio Q3-2025 zal duren, wordt er van organisaties wel compliancy verwacht. Feit zal zijn dat ook bedrijven die primair niet onder de NIS2 vallen vanuit kun klant worden ‘meegenomen’ in deze NIS-eisen. Vergelijk dit met de CSRD-wetgeving. Tenslotte is vanuit risicomanagement en de genoemde ‘zorgplicht’ de keten van belang. IT-security krijgt meer aandacht vanuit het belang voor de eigen organisatie en breder de samenleving.

Nu starten met een eerste voorbereiding is zeer gewenst. Een werkwijze conform de NIS2 is namelijk niet in 2-3 maanden neer te zetten. Is er al een ISO 27001-certificering of ben je hiermee bezig, dan is er al een  zeer goede basis, een ISMS, waarin de NIS2 opgenomen kan worden.

Wil of moet je starten met een eerste inventarisatie en inrichten van de bedrijfsvoering naar de NIS2 neem dan vrijblijvend contact op voor een kennismaking en toelichting van onze doelgerichte werkwijze.

#kennisbank

Kom meer te weten over informatiebeveiliging en de NIS2 wetgeving

Blog

Rollen en verantwoordelijkheden binnen de GPSR

Welke rol heb jij onder de GPSR? Afhankelijk van de plaats van jouw organisatie in de productketen heb je bepaalde verantwoordelijkheden. Dit gaat van fabrikant en gemachtigde, importeur, distributeur tot fulfilmentcenter of helemaal niet vallend onder de GPSR. Vind jouw plaats in dit kennisartikel.

De wereld om ons heen

Blog

Duurzaamheid: mens, milieu en maatschappij

In de afgelopen jaren heeft duurzaamheid een sterke opmars gemaakt, en die trend zet zich voort. Het is voor bedrijven dan ook essentieel om hierop te acteren. Duurzaamheid kan voortkomen uit rapportageverplichtingen zoals de CSRD, of uit vragen van klanten, leveranciers, en -niet onbelangrijk- de eigen medewerkers.

Mitsubishi Forklift Trucks - logo

Blog

Mitsubishi Forklift Trucks behaalt MVO Prestatieladder

Mitsubishi Forklift Trucks heeft het certificaat MVO Prestatieladder ontvangen. Deze certificering is een belangrijke mijlpaal in het streven van Mitsubishi Forklift Trucks naar maatschappelijk verantwoord ondernemen (MVO). De MVO Prestatieladder bevestigt de inzet van bedrijven op het gebied van duurzaamheid en sociaal beleid.

We helpen je graag met een AVG wetgeving

Vrijblijvend advies

Laten we kennis maken!

Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement, certificering en wetgeving op een werkbare en effectieve wijze. Heb je een vraag of reactie voor Van Voorst Consult? Wij helpen je graag. Neem vrijblijvend contact op via het formulier.