De afgelopen jaren is onze maatschappij en economie steeds meer onder druk komen te staan als gevolg van ontwikkelen als COVID-19, de oorlog in Oekraïne, cyberdreigingen en klimaatverandering. Om de digitale en economische weerbaarheid van EU-leden te verhogen werkt de Europese Unie sinds 2020 aan de Network and Information Security-directive (NIS2).
De NIS2 richt zich op het beperken van risico’s die de veiligheid van netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Deze richtlijn draagt bij aan meer Europese samenwerking en brengt bedrijven en organisaties op een hoger niveau van cybersecurity. De NIS2 volgt de richtlijn voor netwerk- en informatiebeveiliging (NIB) op die in 2016 is opgenomen in de Nederlandse Wet beveiliging netwerk- en informatiesystemen (Wbni).
De NIS2 en de AVG
De Nederlandse overheid is van plan de NIS2-richtlijn eind 2024 om te zetten tot wetgeving als aanvulling op de Algemene Verordening Gegevensbescherming (AVG). De AVG is een Europese privacywet die meer rechten geeft aan individuen en daarnaast organisaties meer verantwoordelijkheid oplegt om zorgvuldig om te gaan met (digitale) persoonsgegevens. De implementatie van zowel de AVG als NIS2 zorgt ervoor dat organisaties proactief moeten nadenken over cybersecurity en acties moeten ondernemen om deze te verbeteren. Het is belangrijk voor organisaties om zich bewust te zijn van hun verplichtingen onder deze richtlijnen en ervoor te zorgen dat ze voldoen aan de gestelde eisen om de veiligheid van hun netwerk- en informatiesystemen te waarborgen.
Impact van de richtlijn
Organisaties zijn er zelf verantwoordelijk voor dat ze op basis van de criteria bepalen of de NIS2 op hen van toepassing is of niet. Het is daarom belangrijk dat ICT-managers op de hoogte zijn van de richtlijn en ervoor zorgen dat cyberrisico’s worden geïdentificeerd en opgelost. Hiervoor moeten mogelijk aanvullende maatregelen worden getroffen, zoals incidentbeheer, cyberbeveiliging van leveranciers, netwerkbeveiliging, toegangscontrole en encryptie. Je moet bovendien vastleggen hoe je organisatie handelt in het geval van een groot cyberincident. Denk hierbij aan het herstel van de systemen, noodprocedures en de inrichting van de crisisorganisatie. Je bent er als organisatie bovendien verantwoordelijk voor dat je een groot incident binnen 24 uur bij de autoriteiten meldt.
Essentiële en belangrijke entiteiten
Organisaties vallen automatisch onder de NIS2-richtlijn als zij actief zijn in een van de aangegeven sectoren en volgens de aangegeven criteria behoren tot de essentiële of belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties met meer dan 250 werknemers, een netto-omzet van minimaal €50 miljoen en een balanstotaal van €43 miljoen of meer. Een uitval van de diensten van deze organisatie heeft een ontwrichtende impact op de economie en de samenleving. Het toezicht op deze organisaties is daarom intensiever dan bij belangrijke entiteiten. Dat zijn middelgrote organisaties met vijftig werknemers of meer en een jaaromzet of balanstotaal van minimaal €10 miljoen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht.
Verplichtingen en boetes
Afhankelijk van de sector waarin een organisatie actief is zijn er verschillende verplichtingen gekoppeld aan de NIS2-richtlijn. Zo moeten organisaties onder andere voldoen aan een zorgplicht, wat inhoudt dat ze zelf een risicobeoordeling moeten uitvoeren op basis waarvan ze de nodige maatregelen kunnen nemen. Daarnaast hebben entiteiten een meldplicht en staan ze onder het nodige toezicht. Voldoe je als organisatie niet aan de richtlijn? Dan loop je het risico hiervoor beboet te worden. Voor essentiële sectoren – zoals zorg, waterschappen, transport, banken, riool- en energieorganisaties – kunnen boetes oplopen tot €10 miljoen of twee procent van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een boete van €7 miljoen of 1,4 procent van de jaaromzet. Leden van de directie zijn zelfs persoonlijk aansprakelijk als zij hun verplichtingen niet nakomen.
Hoe kunnen wij jou helpen?
Om jouw organisatie goed voor te bereiden op de NIS2 is het belangrijk om de risico’s te inventariseren en analyseren. Op basis daarvan kun je het beleid voor informatiebeveiliging en continuïteit opstellen en cyberbewustzijn van je medewerkers stimuleren. Heb je vragen over de aanstaande NIS2-regelgeving? Of kan jouw organisatie hier wel wat hulp bij gebruiken? Onze experts kijken graag met je mee!
