De digitale wereld evolueert voortdurend, maar met deze vooruitgang komen ook nieuwe uitdagingen op het gebied van cybersecurity. Een belangrijke ontwikkeling in dit domein is de introductie van de NIS2, de tweede versie van de Netwerk- en Informatiebeveiliging (NIS) richtlijn. Deze richtlijn, geïntroduceerd op 16 januari 2023, heeft tot doel de cybersecurity in de Europese Unie te versterken en organisaties te beschermen tegen cyberdreigingen. Lees verder om meer te ontdekken over dit onderwerp want mogelijk gaat NIS2 ook voor jouw organisatie gelden.
Wat is de NIS2?
De NIS2, de opvolger van NIS, is een Europese richtlijn die is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Deze richtlijn wordt op korte termijn omgezet naar nationale wetgeving. De deadline voor deze omzetting, oorspronkelijk vastgesteld op 17 oktober 2024, is tot nader besluit uitgesteld. De vertraging van de implementatie van de NIS2 in nationale wetgeving laat onverlet dat de datum van 17 oktober blijft staan voor organisaties die onder NIS2 komen te vallen. Oftewel, hetgeen nu gesteld in de richtlijn is het wettelijke kader vanaf 17 oktober 2024.
Het is dus belangrijk dat bedrijven die onder NIS2 gaan vallen nu al stappen zetten op het gebied van cyberbeveiliging. Zeker omdat effectieve maatregelen implementeren gemiddeld 6 tot 12 maanden duurt. De belangrijke verschillen tussen NIS en NIS2 zijn:
- NIS2 geldt voor meer sectoren, waarbij onderscheid gemaakt wordt tussen essentiële en belangrijke sectoren. Ook de Overheid valt binnen de scope van NIS2.
- NIS2 kent een lijst van minimale beveiligingsmaatregelen en beveiligingseisen.
- NIS2 kent een verdeling naar essentiële en belangrijke sectoren.
- NIS2 heeft ook ten doel om security in de keten aan te pakken.
- Onder NIS2 mag strenger toezicht worden gehouden en worden gehandhaafd met boetes.
Voor wie is de NIS2 van toepassing?
De NIS2-richtlijn is van toepassing op de Overheid en op organisaties die actief zijn in essentiële en belangrijke sectoren. Organisaties in essentiële sectoren leveren vitale diensten zoals energiebedrijven, transportbedrijven, de gezondheidszorg, financiële instellingen en dienstverleners voor de digitale infrastructuur dat doen. Voorbeelden van belangrijke sectoren zijn o.a. digitale aanbieders, de levensmiddelenindustrie, en productiebedrijven. Micro en kleinbedrijven vallen niet onder NIS2. Middelgrote en grote bedrijven wel. De ondergrens voor middelgroot is een jaaromzet van 10 miljoen euro of 50 werknemers.
Belangrijke kenmerken van de NIS2
Voor organisaties in essentiële en belangrijke sectoren geldt een zorgplicht, een meldplicht en worden geconfronteerd met toezicht. De zorgplicht houdt in dat bedrijven zelf een risicobeoordeling moeten uitvoeren en dat zij passende maatregelen nemen. Vanuit de meldplicht moeten bedrijven incidenten binnen 24 uur bij o.a. de toezichthouder melden. Een onafhankelijke toezichthouder houdt toezicht op de naleving van de zorg- en meldplicht. Essentiële sectoren is proactief toezicht van toepassing, op belangrijke sectoren reactief toezicht.
Doorwerking in de toeleveringsketen
Een belangrijk aspect van de NIS2-richtlijn is de doorwerking ervan in de toeleveringsketen. Hoewel organisaties mogelijk niet actief zijn in een essentiële of belangrijke sector, kunnen ze toch te maken krijgen met de impact van de NIS2 via hun klanten of leveranciers. Het is daarom van vitaal belang voor organisaties om zich bewust te zijn van de vereisten van de NIS2 en ervoor te zorgen dat ze klaar zijn om eraan te voldoen, zelfs als ze niet rechtstreeks onder de wet vallen.
Wat gebeurt er als je als organisatie de NIS2-wetgeving niet naleeft?
Het niet naleven van cybersecurity-wetgeving kan ernstige gevolgen hebben voor een organisatie. Een van de mogelijke consequenties is het opleggen van boetes door de nationale autoriteiten, die kunnen oplopen tot miljoenen euro's, afhankelijk van de ernst van de overtreding. Daarnaast kan het leiden tot reputatieschade, verlies van vertrouwen bij klanten en zelfs bestuurdersaansprakelijkheid.
Conclusie
De NIS2 vormt een cruciale stap richting een veiliger digitaal landschap in Europa. Door je voor te bereiden op deze nieuwe wetgeving kun je jouw digitale weerbaarheid versterken en je beter beschermen tegen voortdurende cyberdreigingen. Het is van essentieel belang om, indien NIS2 op jouw organisatie van toepassing is, te voldoen aan de vereisten van de NIS2-wetgeving om mogelijke negatieve gevolgen op financieel, reputatie- en juridisch gebied te voorkomen. We adviseren organisaties om uit te zoeken of NIS2 op hen van toepassing is. Daarnaast, ook als NIS2 niet van toepassing is, om zich voor te bereiden op de zorg- en meldplicht en maatregelen voor het beheer van cyberbeveiligingsrisico's. Het uitstel van deze wetgeving is geen reden om niet proactief met digitale weerbaarheid aan de slag te gaan. Heb je nog vragen of wil je meer weten over ons Digitale Weerbaarheid programma? Neem dan gerust contact op met een van onze experts.
%20zakelijk/Roy%20Verbroekken%20-%20LR%20-%20Zakelijk.jpg?width=200&name=Roy%20Verbroekken%20-%20LR%20-%20Zakelijk.jpg)
