NIS2

NIS2: start implementatie op tijd!

Door:
Ishana Ramsaran
cyber security agency multiethnic team encrypting
De Europese Unie (EU) wil met de NIS2-richtlijn de cyberweerbaarheid verhogen van organisaties die cruciaal zijn voor het functioneren van onze samenleving. Start tijdig met de implementatie en voorkom forse boetes! Onze cybersecurity experts zien dat de NIS2 veel vragen oproept. Wat houdt de NIS2-richtlijn in? Wat zijn de gevolgen van NIS2 voor uw organisatie? Welke stappen moet uw organisatie nemen om aan de NIS2-richtlijn te voldoen? Wij geven u de antwoorden en helpen u graag verder.
Onderwerpen

Wat is de NIS2-richtlijn?

Met de NIS2-richtlijn wil de Europese Unie (EU) de cyberweerbaarheid verhogen van organisaties die cruciaal zijn voor het functioneren van onze samenleving. NIS staat voor Network and Information Security. De NIS2-richtlijn is een opvolger van de NIS1 en bevat meer sectoren, verscherpt de cybersecuritymaatregelen, bevat een meldplicht voor cyberincidenten, past strengere handhaving en sancties toe en maakt een onderverdeling tussen ‘essentiële’ en ‘belangrijke’ organisaties.  

Wat is het verschil tussen essentiële en belangrijke organisaties? 

Het verschil tussen essentieel en belangrijk is dat de uitval van de dienstverlening van essentiële organisaties een meer ontwrichtende impact op de samenleving heeft. Of een organisatie essentieel of belangrijk is, hangt af van de sector (zeer kritiek of kritiek) en de organisatiegrootte (groot of middelgroot). Wij raden u aan om de NIS2 Zelfevaluatie tool van het Digital Trust Center te raadplegen om te bepalen of uw organisatie essentieel of belangrijk is onder NIS2.  

Aan welke eisen moet uw organisatie onder NIS2 voldoen? 

Zowel essentiële als belangrijke organisaties moeten onder NIS2 voldoen aan een aantal verplichtingen. Dit is ingewikkelde materie en vaak lastig voor uw organisatie: 

  • Zorgplicht: Uw organisatie moet passende en evenredige maatregelen treffen op tien voorgeschreven gebieden van cybersecurity. Deze gebieden omvatten onder andere de beveiliging van de toeleveringsketen en borging van de bedrijfscontinuïteit. 
  • Meldplicht: Significante incidenten met grote gevolgen voor uw dienstverlening moet u melden bij het Computer Security Incident Response Team (CSIRT) of de sectorspecifieke toezichthouder.  
  • Governance: Bestuurders van uw organisatie dienen een opleiding te volgen op het gebied van cybersecurity en er ontstaat een aansprakelijkheidsmogelijkheid bij het falen van genomen maatregelen.  

Hoe verloopt de handhaving van NIS2 compliance? 

De toezichthouder monitort of u aan de zorg- en meldplicht voldoet. Dit gaat anders bij essentiële dan bij belangrijke organisaties:

  • Essentiële organisaties: proactieve monitoring (buiten incidenten om).
  • Belangrijke organisaties: reactieve monitoring (na het plaatsvinden van een incident). 

Volgt u de NIS2 verplichtingen niet op, dan kan uw organisatie een flinke boete krijgen. 

Hoe verloopt de NIS2 implementatie? 

Vanaf januari 2023 is de implementatietermijn gestart waarin de NIS2-richtlijn moet worden opgenomen in de nationale wetgeving. Naar verwachting is vanaf eind 2024 de naleving van NIS2-wetgeving voor essentiële en belangrijke organisaties vereist. Start nu met de implementatie zodat uw organisatie nog voldoende tijd heeft om aan NIS2 te voldoen en op het juiste niveau te komen.  

diagram nis2 richtlijn tijdlijn

Wat zijn belangrijke aandachtspunten bij het voldoen aan de NIS2-richtlijn?

Moet u ook aan de slag om de cyberweerbaarheid van uw organisatie goed op orde te krijgen en om aan de NIS2 verplichtingen te voldoen? Waarschijnlijk wel. Onze cybersecurity experts zien namelijk dat veel organisaties hun internetverkeer, netwerk en informatiesystemen maar beperkt monitoren en hierdoor kwetsbaar zijn voor cyberaanvallen. Ook om significante incidenten tijdig te kunnen detecteren en binnen 24 uur te kunnen melden, is het noodzakelijk om uw IT-omgeving goed te monitoren. En zijn de basis cybersecuritymaatregelen bij uw organisatie eigenlijk wel op niveau?  

Wat kan de NIS2-nulmeting voor u betekenen?

Met onze NIS2-nulmeting kunt u onderzoeken of uw organisatie klaar is voor de NIS2-richtlijn en welke stappen u nog moet nemen om uw organisatie op het juiste niveau te krijgen. Zo heeft u inzicht in waar uw organisatie staat en geven we advies over verbeterpunten om uw organisatie voor te bereiden op de NIS2-richtlijn. Daarnaast monitort onze CyberHunter dienstverlening kwetsbaarheden in uw IT-omgeving en helpt u om te voldoen aan de NIS2 verplichtingen.  

Meer weten over NIS2 richtlijn?

Wilt u meer weten over NIS2, of uw organisatie hier klaar voor is en de maatregelen die u moet nemen om aan de NIS2-richtlijn te voldoen?

Neem dan contact op met één van onze specialisten