Wat is de NIS2 richtlijn?
NIS2 is een Europese richtlijn die gericht is op het beveiligen van cybersecurity. NIS2 is de opvolger van de NIS (Network & Information Systems) directive en kennen we in Nederland beter als: NIB (Netwerk & Informatiebeveiligingsrichtlijn). Met de NIS2 wil de EU de cyberweerbaarheid versterken en het beveiligingsniveau van organisaties verhogen.
De wijzigingen in de NIS2 richtlijn
In de NIS2 zijn eisen verder aangescherpt, strengere toezichtmaatregelen genomen en is het toepassingsgebied verder uitgebreid. Zo geldt de NIS2 nu voor meer sectoren en zijn ook zij verplicht om maatregelen te treffen. NIS2 maakt onderscheid tussen essentiële sectoren en belangrijke sectoren. Val je in een van deze sectoren? Dan moet je automatisch voldoen aan de NIS2 (onderstaand vind je de sectoren terug).
Toepassingsgebied NIS2
Je valt onder de NIS2 richtlijn als:
- Je organisatie actief is in een sector die genoemd is in bijlage 1 of 2 (zie onderstaand).
- Je een middelgrote onderneming bent: je hebt 50 tot 250 werknemers in dienst of je behaalt een jaaromzet van meer dan €10 miljoen.
- Je een grote organisatie bent: je beschikt over meer dan 250 werknemers of je behaalt een netto omzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen.
Let op! Er zijn ook aanvullingen op bovenstaande regelingen. Hieronder leggen we ze voor je uit:
- Ketenpartners: ben je niet actief in bovengenoemde sectoren? Maar ben je wel een belangrijke schakel bij het proces van een van deze essentiële of belangrijke sectoren? Dan moet ook jij voldoen aan de NIS2 richtlijn.
- Uitzonderingen: Kleine bedrijven die een belangrijke schakel zijn bij de infrastructuur van het internet moeten ook voldoen aan de NIS2.
Bijlagen 1: essentiële sectoren
- Energie
- Transport
- Infrastructuur financiële markt
- Bankwezen
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Beheerders ICT diensten
- Ruimtediensten
Bijlagen 2: belangrijke sectoren
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging/manufacturing
Verplichtingen NIS2 richtlijn
De NIS2 richtlijn is opgebouwd uit de volgende verplichtingen:
- Zorgplicht. Organisaties die onder de NIS2 vallen zijn verplicht op een risicobeoordeling uit te voeren en passende maatregelen te nemen.
- Meldplicht. Vindt er een incident plaats? Dan is de organisatie verplicht om binnen 24 uur melding te maken bij de toezichthouder en afhankelijk van de ernst van het incident, ook bij het CSIRT (Computer Security Incident Response Team).
- Toezicht. Val je onder de NIS2 richtlijn? Dan kom je onder toezicht te staan. Er wordt dan gekeken of dat je de verplichtingen ook daadwerkelijk naleeft.
Wanneer een organisatie de richtlijnen van de NIS2 niet naleeft, kunnen er sancties worden opgelegd, zoals boetes. Deze sancties worden bepaald op basis van de situatie en de sector waarin je je bevindt.
Voldoe aan de basiseisen van NIS2 met ISO 27001
In de NIS2 richtlijn ligt meer aandacht op risicomanagement, incidentenmanagement en crisisbeheer. En dat is waar ISO 27001 om de hoek komt kijken. ISO 27001 is de internationale norm op het gebied van informatiebeveiliging en biedt een uitstekende basis om te voldoen aan de vereisten van de NIS2 richtlijn. ISO 27001 brengt de volgende voordelen met zich mee:
- Verbeterde informatiebeveiliging en risicobeheer: ISO 27001 helpt organisaties om risico’s te identificeren, waardoor de juiste maatregelen worden genomen en de algehele informatiebeveiliging verbeterd.
- Vertrouwen van klanten: Met ISO 27001 laat je zien correct om te gaan met het beveiligen van privacy gevoelige gegevens. Dit wekt vertrouwen op bij klanten.
- Verbeterde interne processen: Door een kritische blik te werpen op de interne processen en de juiste maatregelen te nemen, zorg je ervoor dat dit efficiënter kan worden ingericht.
- Continue verbetering: Organisaties moeten het informatiebeveiligingssysteem continu bijhouden en verbeteren volgens de PDCA cyclus. Hierdoor blijft je organisatie ontwikkelen en verbeteren.
Vragen?
Heb je nog andere vragen over de NIS2 richtlijn of ISO 27001? Neem gerust contact met ons op en we helpen je graag verder!