NIS2 richtlijnen en wat dit betekent
De NIS2 is sinds 16 januari 2023 van kracht. Het doel van NIS2 is een verbeterde digitale en economische weerbaarheid van Europese lidstaten. Nederland is bezig om vanuit Europese richtlijnen een Nederlandse wetgeving te realiseren. De verwachting is dat deze wet begin 2025 van kracht wordt.
Je vindt behulpzame informatie, hulp voor NIS2 compliance, een link naar de verplichte gestelde boardroomtraining voor bestuurders en een gratis NIS2 quickscan
Beoordeeld met een 9.8
Erkend trainingscentrum
Hulp met NIS2 compliance
NIS2-naleving kan zeker een uitdaging zijn voor de organisatie. Het garanderen van sterke cyberbeveiliging en het blijven voldoen aan de nieuwe normen vraagt om professionele planning en uitvoering.
Onze professionals staan graag bij om mee te werken aan een gestructureerd, effectief en professioneel proces om compliant te worden aan de NIS2. Lees meer via de button.
Verplichte NIS2 Boardroomtraining
voor bestuurders
Organisaties zijn verplicht een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen. Bestuurders moeten volgens de aankomende wetgeving voldoende kennis hebben om dit goed te keuren en het overzicht op de werkzaamheden behouden. Om dit goed te kunnen doen dienen zij hiervoor verplicht een NIS2 Boardroomtraining te volgen.
Volg de training hoe, waar en wanneer het uitkomt!
NIS2 Quickscan
Waar staat de organisatie ten opzichte van NIS2?
De ene organisatie is al bijna compliant, de ander heeft nog een lange weg te gaan. Wil je weten waar jouw organisatie staat? Doe dan onze gratis NIS2 quickscan!
NIS2 brochure
Wil je in één makkelijk overzicht weten waar NIS2 in hoofdlijnen over gaat? Download dan deze NIS2 brochure. We tonen alle hoofdpunten die tot vandaag de dag duidelijk zijn over de aankomende Nederlandse NIS2 wetgeving.
Meer over NIS2
Wat wil je weten over de NIS2?
Net als alle andere EU-landen, zou Nederland tot 17 oktober 2024 hebben om te voldoen aan deze nieuwe richtlijn. De Nederlandse overheid heeft in januari 2024 aangegeven niet te kunnen voldoen aan deze deadline, maar benadrukt met klem dat organisaties wel alvast de nodige stappen zetten.
Wanneer de precieze vertaling naar Nederlandse wetgeving wel precies van kracht wordt, is nu nog onduidelijk, maar de verwachting is dat de wet begin 2025 van kracht wordt.
Met de NIS2 zijn er een aantal veranderen aangebracht en dit betekent onder andere dat veel meer bedrijven moeten voldoen aan de nieuwe richtlijn.
Wat zijn de grootste verschillen tussen NIS1 en NIS2?
- Meer sectoren vallen onder NIS2
- De minimale basiseisen in de NIS2 zijn hoger dan die van de NIS1
- Toeleveranciers zijn onderdeel geworden van security maatregelen
- Strenger toezicht en handhaving
- Wil je de NIS2 richtlijn volledig doorlezen, dan kan je hier de NIS2 PDF downloaden.
Hieronder een overzicht van wie er onder de NIS2 vallen. Op deze pagina van de Rijksoverheid staat een zeer behulpzame tool om een goede indicatie te krijgen of NIS2 ook voor jouw organisatie geldt.
In hoofdlijnen mag je van onderstaande uitgaan:
Bijlage 1
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
Bijlage 2
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging / manufacturing
Essentiële entiteiten
Grote organisaties uit bijlage I van de Cyberbeveiligingswet kwalificeren als essentiële entiteit.
Organisaties die als ‘Kritieke entiteit’ onder de Critical Entities Resilience Richtlijn (CER) vallen worden ook als een ‘essentiële entiteit’ gezien in de Cyberbeveiligingswet.
Uitzondering:
De sector Overheid, gekwalificeerde vertrouwens-dienstverleners (QTSP), registers voor topleveldomeinnamen en verleners van DNS-diensten zijn automatisch een essentiële entiteit. Net als middelgrote aanbieders van openbare elektronische communicatienetwerken en -diensten.
Belangrijke entiteiten
Middelgrote organisaties van bijlage I en middelgrote en grote organisaties van bijlage II van de Cyberbeveiligingswet gelden als belangrijke entiteit.
Wat is een grote organisatie?
Minimaal 250 personen werkzaam zijn of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro
Wat is een middelgrote organisatie?
Minimaal 50 personen of een jaaromzet van meer dan 10 miljoen euro, en een balanswaarde van meer dan 10 miljoen euro.
Met de NIS2 richtlijn worden er minimale beveiligingseisen voorgeschreven (strenger dan NIS1) en geldt de verplichting om incidenten te melden bij het Europese Computer Security Incident Response team (CSIRT).
Als jouw organisatie moet voldoen aan de nieuwe NIS2 wetgeving, dan moet je voldoen aan de richtlijnen. Vier belangrijke onderdelen van NIS2 zijn:
Zorgplicht
Met zorgplicht wordt bedoelt jouw organisatie verplicht is een risicobeoordeling uit te voeren. Op basis van de uitkomsten moet je passende maatregelen nemen om je diensten, en je netwerk- en informatiesystemen te beveiligen. De NIS2 richtlijn richt zich hierbij op digitale risico’s.
Registratieplicht
Val je onder de NIS2 richtlijn, dan ben je verplicht om je te registreren. Registratie zorgt voor een breed beeld op Europees niveau van het aantal organisaties die onder de NIS2 vallen.
Meldplicht
Wanneer er cyberincidenten plaatsvinden die de doorgang van essentiële diensten (kunnen) verstoren, moet je dat binnen 24 uur melden bij de toezichthouder en bij het Computer Security Incident Response Team (CSIRT). Het CSIRT kan hulp en ondersteuning leveren.
Toezicht
Val je onder de nieuwe NIS2 richtlijn? Dan kom je onder toezicht te staan. Je wordt gecontroleerd op het goed naleven van de onder de NIS2 horende verplichtingen.
Ondanks dat de Nederlandse overheid in januari 2024 aangaf de deadline van oktober 2024 niet te halen, benadrukte Dilan Yesilgöz (Min. van Justitie en Veiligheid) het belang van de nieuwe richtlijnen. Niet alleen om te voldoen aan de aankomende verplichtingen, maar om nu al scherp te zijn op het beter verzekeren van continuïteit van bedrijfsprocessen. Er worden drie maatregelen genoemd om voor te bereiden op de aankomende NIS2 wetgeving:
- Risicoanalyse maken van fysieke en digitale dreigingen
- Welke fysieke en digitale risico’s vormen een bedreiging voor bedrijfsprocessen en continuïteit?
- Hoe groot is de kans dat deze bedreigingen zich daadwerkelijk voltrekken?
- Wat voor een impact kan een bedreiging met zich meenemen en wat betekent dit voor de organisatie?
- Welke maatregelen zijn reeds in gebruik om de kans en risico’s op de gevonden bedreigingen te verminderen?
- Neem maatregelen om de organisatie beter te beschermen
- Stel een emergency response plan ( https://optisec.nl/emergency-response-plan-erp) op. Een dergelijk plan helpt aanzienlijke schade te voorkomen door sneller, effectiever en goedkoper te handelen indien er daadwerkelijk een noodsituatie voordoet.
- Creëer een mate van redundantie voor toeleveranciers. Mocht één van de toeleveranciers niet meer in staat zijn om diensten te leveren, dan is het waardevol om vooraf te weten hoe hiermee omgegaan kan worden, bijvoorbeeld door snel te kunnen schakelen met een tweede leverancier.
- Maak personeel bewust van reële dreigingen. Awareness onder personeel is een effectieve manier om makkelijk te voorkomen incidenten te weren. Door het bewustzijn onder personeel te vergroten zorg je ervoor dat (simpele) trucs van buitenaf, met kwaadaardige bedoelingen, niet (zo snel) succesvol zijn.
- Veranker goede procedures in de organisatie Omdat de NIS2 ook met een verscherpte meldingsplicht komt, is het goed om de procedures voor deze meldingsplicht verankerd te hebben in de organisatie. Mocht er dan een incident plaatsvinden, dan weet de organisatie precies hoe een melding gedaan moet worden, volgend de NIS2 richtlijnen.
Persoonlijk contact over NIS2?
Neem contact op via onze contactpagina.
Dan maken we een afspraak.