Meer bedrijven in belangrijke sectoren krijgen verplichtingen om cyberaanvallen tegen te gaan. Lees over de NIS2.
Wat gaat er veranderen?
Meer bedrijven en organisaties in kritieke sectoren krijgen verplichtingen (zorgplicht en meldplicht) om de cybersecurity te vergroten en cyberaanvallen tegen te gaan. Deze verplichtingen staan in de Network and Information Security directive (NIS2-richtlijn).
Wat is de NIS2-richtlijn?
Deze NIS2-richtlijn moet meehelpen aan een hoger niveau van cybersecurity voor netwerk- en informatiesystemen bij bedrijven en organisaties. De NIS2-richtlijn moet ervoor zorgen dat de EU-landen zich beter beschermen tegen dreigingen die de samenleving of economie kunnen verstoren of ontwrichten. De NIS2 is de opvolger van de eerste NIS-richtlijn (de NIB). Deze richtlijn is in 2016 in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Voor wie?
De NIS2-richtlijn geldt voor sectoren die al onder de eerste NIS-richtlijn vallen en daar komen nu sectoren bij. Uw organisatie valt automatisch onder de NIS2-richtlijn als:
- uw organisatie actief is in 1 van de sectoren in bijlage 1 van de NIS2-richtlijn of bijlage 2 van de NIS2-richtlijn, en
- u heeft een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan € 10 miljoen (uw organisatie is een belangrijke entiteit), of
- u heeft een grote organisatie met meer dan 250 werknemers of een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen (uw organisatie is een essentiële entiteit)
In bijlage 1 van de NIS2-richtlijn staan de zeer kritieke sectoren:
- energie
- transport
- bankwezen
- infrastructuur financiële markt
- gezondheidszorg
- drinkwater
- digitale infrastructuur
- beheerders van ict-diensten
- afvalwater
- overheidsdiensten
- ruimtevaart
In bijlage 2 van de NIS2-richtlijn staan de kritieke sectoren:
- digitale aanbieders
- post- en koeriersdiensten
- afvalstoffenbeheer
- levensmiddelen
- chemische stoffen
- onderzoek
- vervaardiging / productie
NIS2 voor micro- of klein bedrijf in een kritieke sector
Deze micro- en kleine bedrijven vallen automatisch onder de NIS2-richtlijn:
- aanbieders van vertrouwensdiensten
- registers voor toplevel domeinnamen
- verleners van domeinnaamregistratiediensten
- aanbieders van openbare elektronische communicatienetwerken
- aanbieders van openbare elektronische communicatiediensten
De minister kan een micro- of klein bedrijf aanwijzen. Bijvoorbeeld als uw dienstverlening van cruciaal belang is voor de Nederlandse economie of samenleving. Als dat zo is, krijgt u hierover bericht.
Wat moet u doen?
Als uw organisatie onder de NIS2-richtlijn valt, gelden deze regels:
- U krijgt een zorgplicht. U moet een risicobeoordeling uitvoeren. Op basis van de risicobeoordeling moet u maatregelen nemen zodat uw diensten zoveel mogelijk door kunnen gaan en om de gebruikte informatie te beschermen.
- U krijgt een meldplicht. U moet incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de essentiële dienstverlening aanzienlijk (kunnen) verstoren. Is het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Verschillende factoren bepalen of een incident gemeld moet worden. Bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- U komt onder toezicht te staan. Dit toezicht houdt in dat wordt gekeken of u zich aan de verplichtingen uit de NIS2-richtlijn houdt. Zoals de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Voorbereiden op de NIS2
Voordat de nationale wetgeving er is, kunt u zich voorbereiden op uw zorgplicht. U kunt hiervoor maatregelen nemen die de veiligheid en weerbaarheid van uw processen en diensten verbeteren. Bekijk de basismaatregelen cybersecurity bij het Nationaal Cyber Security Centrum (NCSC) en doe de Basisscan Cyberweerbaarheid van het Digital Trust Center.
Gevolgen van later omzetten NIS2-richtlijn naar nationale wetgeving
De Cyberbeveiligingswet (Cbw) zou eerst in oktober 2024 ingaan. Maar het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet kost meer tijd dan verwacht. Lees wat de gevolgen zijn van de latere ingangsdatum.
Wanneer?
Naar verwachting gaat de Cyberbeveiligingswet (Cbw) in het derde kwartaal van 2025 in. Eerst moeten de Eerste en Tweede Kamer de Cyberbeveiligingswet behandelen. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.