NIS2 richtlijn
In dit artikel
Wat is de NIS2 richtlijn?
De NIS2 richtlijn wordt ook wel de NIS2 directive genoemd. NIS staat voor Network and Information Security en NIS2 is de opvolger van de al eerder binnen de EU vastgestelde cyberveiligheid richtlijn (NIS1). NIS2 vormt op tal van punten een uitbereiding en verbetering om de digitale weerbaarheid van organisaties in de Europese Unie te versterken. De Europese richtlijn zal in Nederland worden geïmplementeerd in de vorm van de nieuwe Cyberbeveiligingswet waaraan sinds januari 2023 wordt gewerkt. Zodra die NIS2 wetgeving gereed is zal deze de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen. Maar wat is NIS2 nu precies? Dat vertellen we in dit artikel.
Wat houdt de NIS2 richtlijn in?
Met de verdergaande digitalisering en samenwerking tussen bedrijven en landen wordt onze maatschappij steeds gevoeliger voor cyberdreigingen. Zelfs de impact van één enkele hack bij bijvoorbeeld een energiebedrijf, bank of luchthaven kan het journaal halen en dat geldt helemaal als meerdere organisaties tegelijk worden geraakt door computerproblemen. De NIS2 richtlijn is er voor bedoeld om organisaties die belangrijk of zelfs essentieel zijn voor onze economie of maatschappij als geheel te beschermen. Samen maken we met de NIS2 Nederland veiliger.
De NIS wetgeving zorgt daarbij ook voor een zogeheten gelijk speelveld binnen de EU. Voorheen werkten landen met verschillende beveiligingsrichtlijnen en -maatregelen, wat de samenwerking tussen landen en organisaties behoorlijk belemmerde. Met de introductie van de NIS2 directive zorgen we voor een consistent veiligheidsniveau in de verschillende lidstaten zodat we ons als één blok verdedigen. We zagen in de Trendanalyse Nationale Veiligheid 2024 dat de dreiging van statelijke actoren en criminele organisaties toeneemt en dit is een van de maatregelen om daarop voorbereid te zijn.
Aanleiding NIS2
Met de actuele dreigingen was NIS1 inmiddels te beperkt. De scope van de NIS2 wetgeving is dan ook duidelijk ruimer dan de oorspronkelijke richtlijn. Er zijn meer sectoren opgenomen en in de relevante sectoren vaak ook middelgrote en soms zelfs kleinere organisaties opgenomen. Ook stelt NIS 2 duidelijk strengere eisen aan de opgenomen organisaties, onder andere op het gebied van cyberrisicobeheer, controle en toezicht en bedrijfscontinuïteit. De NIS2 verplichtingen beschrijven we hieronder in wat meer detail.
Voor wie is de NIS2?
Eerste vraag: Is de NIS2 wetgeving voor mij als organisatie van toepassing? De NIS 2 implementatie is gericht op organisaties die – we noemden het al – belangrijk of zelfs essentieel zijn voor het maatschappelijk en economisch functioneren van landen. De sectoren die onder NIS2 vallen, zijn strikt omschreven en vormen een belangrijke uitbreiding ten opzichte van NIS1. Daarbij wordt een onderscheid gemaakt tussen ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’:
- Zeer kritieke NIS2 sectoren zijn bijvoorbeeld de energiebedrijven, transport, financiële instellingen, zorg, watervoorziening, IT infrastructuren en overheden. Ruwweg, de ruggengraat waar het land als geheel op draait.
- Andere kritieke NIS2 sectoren omvatten onder andere digitale dienstverleners, koerierdiensten, levensmiddelen en de maakindustrie. Sectoren die je niet zozeer als infrastructuurdiensten kan beschouwen maar wel cruciaal voor het ‘verder functioneren’ van het land.
Naast de vraag in welke sector een organisatie of bedrijf werkzaam is, is ook de omvang relevant. In het algemeen gaat het bij NIS2 om grote en middelgrote bedrijven en organisaties:
- Grote organisaties hebben hierbij meer dan 250 werkzame personen. Of een jaaromzet van minimaal 50 miljoen euro en een balanstotaal van 43 miljoen euro.
- Middelgroot ben je als je minimaal 50 medewerkers hebt. Of een jaaromzet en een balanstotaal van allebei boven de 10 miljoen euro.
Overigens zijn er uitzonderingen. Micro- en kleinbedrijven vallen in principe niet onder de NIS2 richtlijnen maar een ministerie dat verantwoordelijk is voor een bepaalde sector kan zulke bedrijven toch onder NIS2 laten vallen als dat bedrijf cruciaal is voor de Nederlandse economie of maatschappij. En ongeacht hun omvang vallen overheden, aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners en verleners van domeinregistratiediensten altijd onder de NIS2.
Het is voor een individuele organisatie dus niet altijd volledig duidelijk of je binnen de NIS2 kaders valt. De overheid heeft daarom een zelfevaluatie gemaakt. Die NIS2 checklist helpt je te bepalen of jouw organisatie onder de NIS2 richtlijn valt.
Essentiële of belangrijke entiteiten in NIS2
Met diezelfde zelfevaluatie kun je ook bepalen of jouw organisatie binnen NIS2 een zogeheten ‘essentiële entiteit’ of een ‘belangrijke entiteit’ bent. Dat onderscheid is vooral belangrijk omdat dit bepaalt welk toezichtregime geldt voor jouw organisatie:
- In NIS2 worden alle grote organisaties in zeer kritieke sectoren gerangschikt als essentiële entiteiten. Hetzelfde geldt voor sommige categorieën digitale infrastructuuraanbieders, ongeacht hun omvang. En ook alle overheidsorganisaties zijn Essentiële entiteiten.
- De andere organisaties die onder NIS2 vallen, worden gerangschikt als belangrijke entiteiten. Dan hebben we het veelal over middelgrote organisaties in zeer kritieke sectoren en alle organisaties in de andere kritieke sectoren.
Mocht het je duizelen met zeer óf andere kritieke sectoren, essentiële óf belangrijke entiteiten en ook nog het onderscheid tussen micro, kleine, middelgrote en grote organisaties? Dan is de genoemde NIS2 checklist jouw eerste startpunt. Daarnaast heeft het Nationaal Cyber Security Centrum (NCSC) een NIS2 brochure beschikbaar waarin alle indelingen nog eens overzichtelijk zijn samengevat.
NIS2 verplichtingen en toezicht
Als een organisatie onder de NIS2 richtlijn valt, heb je automatisch te maken met een drietal verplichtingen:
- Je bent wettelijk verplicht je te registreren in het entiteitenregister. Het NCSC ontwikkelt en beheert een online registratievoorziening waarin organisaties zichzelf kunnen registreren en aanmelden als NIS2 entiteit. Alle EU-lidstaten hebben zo’n registratie zodat er een Europees overzicht ontstaat.
- Het wetsvoorstel bevat een zorgplicht. Organisaties moeten een risicoanalyse uitvoeren en aan de hand daarvan passende en evenredige maatregelen nemen voor de beveiliging van alle netwerk- en informatiesystemen zie ze gebruiken voor hun dienstverlening.
- Er is een meldplicht. Entiteiten moeten significante incidenten binnen 24 uur melden bij het CSIRT (Computer Security Incident Response Team) en de toezichthouder. Het gaat om incidenten die de dienstverlening van de organisatie aanzienlijk (kunnen) verstoren.
De Cyberbeveiligingswet regelt ook het toezicht op entiteiten. Dat betreft uiteraard de organisatie als geheel maar ook individuele bestuurders kunnen zo nodig worden onderzocht. Bij dit NIS2 toezicht zie je hét verschil tussen belangrijke en essentiële entiteiten:
- Bij essentiële entiteiten is sprake van proactief toezicht. Dit betekent dat er toezicht plaatsvindt op het naleven van de verplichtingen, ongeacht of er incidenten hebben plaatsgevonden.
- Bij belangrijke entiteiten is er alleen sprake van reactief toezicht. Zo kan de regelgever besluiten een onderzoek in te stellen na bijvoorbeeld een cyberincident of meldingen van externe auditors of andere organisaties.
Daarnaast kunnen de financiële sancties bij essentiële entiteiten hoger liggen dan bij de belangrijke entiteiten.
NIS2 vertraagd
We noemden al dat NIS2 een EU-richtlijn is die door Nederland moet worden geïmplementeerd in Nederlandse wetgeving, de Cyberbeveiligingswet. De wetgeving is complex, onder andere omdat – we noemden het al – meer sectoren zijn opgenomen, de eisen hoog liggen en daarom ook meer toezicht nodig is. De oorspronkelijke deadline van 17 oktober 2024 bleek dan ook niet haalbaar en het kabinet Rutte 4 had al eerder een vertraging aangekondigd. De verwachting is dat de implementatie van de NIS2 richtlijn nu naar verwachting in het tweede of derde kwartaal van 2025 is afgerond.
Voorbereiden op de NIS2 implementatie
Valt jouw organisatie onder NIS2? Zorg dan voor een tijdige voorbereiding. In onze blog vertellen we meer over je voorbereiding op NIS2. We vertellen daarin ook hoe Tool4ever jou helpt NIS2 compliant te worden en te blijven.
Een CSIRT (Computer Security Incident Response Team) is een gespecialiseerd team van IT- en beveiligingsspecialisten dat verantwoordelijk is voor het herkennen, analyseren en oplossen van beveiligingsincidenten binnen een organisatie of netwerk.
Nee, specifieke organisaties vallen onder NIS2 en moeten dan aan de bijbehorende verplichtingen voldoen, maar je kunt je hier niet voor certificeren. Wel zul je als organisatie al automatisch aan veel NIS2 eisen voldoen als je bijvoorbeeld ISO 27001 gecertificeerd bent.