NIS2

NIS2 is een Europese richtlijn en staat voor Netwerk- en Informatie Systemen 2. NIS2 is, de opvolger van NIS uit 2016. Het is geen aanvulling op de oude NIS maar vervangt deze volledig. NIS2 heeft een verbeterde digitale en economische weerbaarheid tot doel. De deadline van 17 oktober 2024 voor de doorvertaling naar Nederlandse wetgeving gaat niet worden gehaald. Desalniettemin is het algemene advies om als organisatie per 17 oktober 2024 te voldoen aan deze richtlijn; voor de digitale veiligheid van uw organisatie, eisen vanuit uw klanten¹, om concurrrentievoordeel te behalen, etc. 

Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren.  

Organisaties die middelgroot (minder dan 250 personen en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.  

De in de richtlijn opgenomen eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid. Sancties variëren van aanwijzingen en forse boetes tot het aansprakelijk stellen en schorsen van bestuurders. NIS2 is een richtlijn om serieus te nemen. 

Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc.

Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers. NIS2 zal hierdoor niet alleen impact hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen. 

Verder geldt er een grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Tevens dienen zij verplicht training te volgen.  

Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen.

NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT-security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. De in de richtlijn genoemde maatregelen zijn niet normerend geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is. Een gedegen risicoanalyse, goed normenkader en het nemen van passende maatregelen is geen abc-tje.  

In ons recente blog vindt u meer gedetailleerde informatie over NIS2, of download ons gratis whitepaper voor verder uitgebreide inzichten.

Wilt u meer weten of een keer sparren over NIS2? Neem dan contact op met Marc van Heese marc@arcpeople.nl of 06-52073162. 

______________

¹ N.B. NIS2 is een Europese richtlijn. Indien u klanten heeft in andere Europese landen, kan het zo zijn dat de richtlijn in deze landen eerder is vertaald in lokale wetgeving dan in Nederland. Uw klanten zullen hierdoor eerder van u eisen dat u voldoet aan NIS2.