De NIS2 is de opvolger van de oude NIS-richtlijn die in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2-richtlijn richt zich op cyber- en informatiebeveiligingsrisico’s voor netwerk- en informatiesystemen. Met de komst van de NIS2 streeft de Europese Unie naar harmonisatie en een hoger niveau van cybersecurity binnen en tussen Europese lidstaten. De NIS2 richt zich op een bredere groep van sectoren en organisaties dan zijn voorganger.
Het niet voldoen aan de NIS2-richtlijn leidt tot verschillende risico’s voor jouw organisatie. Allereerst kan de niet-naleving van de richtlijn leiden tot aanzienlijke boetes en mogelijk andere juridische gevolgen voor je organisatie. Ten tweede blijft je organisatie kwetsbaarder voor cyberaanvallen, wat kan resulteren in datalekken, business discontinuïteit, reputatieschade of financiële verliezen.
De NIS2 heeft een positief effect op:
De NIS 2-richtlijn legt drie soorten verplichtingen waarmee je als organisatie beter in staat bent digitale dreigingen te beheersen:
Organisaties moeten vanuit de zorgplicht een risicobeoordeling uitvoeren. Op basis van deze risicobeoordeling zijn zij verplicht om passende maatregelen te nemen om de continuïteit van hun diensten te beschermen.
Organisaties moeten een informatiebeveiligingsincident binnen 24 uur na ontdekking melden bij de toezichthouder. Het gaat hierbij om incidenten die de dienstverlening van organisaties mogelijk kunnen verstoren. Cyberincidenten dienen ook gemeld te worden bij het Computer Security Incident Response Team (CSIRT) die ondersteuning kan bieden bij het verhelpen van het incident.
Vanuit de richtlijn moeten organisaties ook onder toezicht vallen van een onafhankelijke toezichthouder. Een voorbeeld hiervan is de Autoriteit Persoonsgegevens die toeziet op de Algemene Verordening Gegevensbescherming (AVG-wet). Deze autoriteit zal toezien op de naleving van de richtlijn, dus de zorg- en meldplicht. De autoriteit zal verder proactief toezicht houden op essentiële entiteiten, terwijl zij pas direct toezicht heeft op belangrijke entiteiten na een incident.
Wij maken organisaties al 10 jaar weerbaar tegen risico's
Zit je nog met vragen over de NIS2? Of wil je graag een nulmeting uitvoeren om te kijken waar je als organisatie staat ten opzichte van de NIS2? Onze gespecialiseerde consultants op het gebied van privacy en informatiebeveiliging staan graag voor je klaar. Wij kunnen je organisatie ondersteunen met het voldoen aan de nieuwe wet & regelgeving en helpen bij het implementeren van de cybermaatregelen. Neem contact met ons op!
De NIS2 richtlijn is een nieuwe versie van de eerste NIS-richtlijn. De richtlijn richt zich op het verbeteren en veiliger maken van netwerk- en informatiesystemen in de Europese Unie. De NIS2 stelt verder strengere eisen aan organisaties en introduceert de zorg- en de meldplicht waar organisaties aan moeten voldoen.
De organisaties die onder de NIS2 vallen zijn essentiële en belangrijke entiteiten in verschillende sectoren zoals energie, gezondheidszorg, waterbeheer, digitale infrastructuur en meer. Het verschil tussen een essentiële en een belangrijke organisatie zit in de sector en het aantal medewerkers of de financiële omzet van de organisatie. Wil je weten of je organisatie onder de NIS2 valt? Vul de zelfevaluatie tool in van de rijksoverheid: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
De organisaties die onder de NIS2 vallen zullen de grootste impact voelen. De organisaties moeten striktere maatregelen implementeren, risicobeoordelingen uitvoeren en bij beleid schrijven voor het melden van informatiebeveiligingsincidenten. De verplichtingen zullen leiden tot het beoogde doel van de EU: een verhoging van de cybersecurity en informatiebeveiliging van de Europese lidstaten.
De tijd die je als organisatie nodig hebt om te voldoen aan de NIS2 hangt af van je huidige cyber- of informatiebeveiligingsmaatregelen. Als je als organisatie bijvoorbeeld al ISO 27001 of NEN 7510 gecertificeerd bent, is de implementatie van de NIS2 een stuk makkelijker. Als je als organisatie te weinig maatregelen hebt genomen zal de implementatie natuurlijk langer duren.