Om de groeiende bedreigingen van digitalisering en de toename van cyberaanvallen aan te pakken, heeft de Europese Commissie een voorstel ingediend om de NIS-richtlijn te vervangen door NIS2. Hiermee worden de beveiligingseisen versterkt, de beveiliging van toeleveringsketens aangepakt, rapportageverplichtingen gestroomlijnd en strengere toezichtsmaatregelen en handhavingsvereisten geïntroduceerd, inclusief geharmoniseerde sancties in de hele EU.

Het primaire doel van de NIS2-richtlijn is het versterken van cybersecurity en veerkracht van vitale infrastructuur en digitale dienstverleners binnen de Europese Unie.

Enkele van de belangrijkste verschillen tussen de oude en nieuwe richtlijnen omvatten nauwkeurigere bepalingen over het proces van incidentrapportage, de inhoud van de rapporten en de timing (binnen 24 uur na ontdekking van het incident). Op Europees niveau versterkt NIS2 cybersecurity voor essentiële informatie- en communicatietechnologieën. Lidstaten moeten gecoördineerde risicobeoordelingen van belangrijke toeleveringsketens uitvoeren in samenwerking met de Commissie en ENISA, het Europees Agentschap voor Cyberbeveiliging. 

Lees onze brochure voor meer informatie over de verschillen tussen de oude en nieuwe richtlijn.

NIS2 heeft invloed op alle organisaties die essentiële of belangrijke diensten leveren aan de Europese economie en samenleving.

Als uw organisatie onder een van de onderstaande categorieën valt, is NIS2 op u van toepassing.

Essentiële Entiteiten (EE: “Essential Entities”) 
De drempelwaarde voor omvang varieert per sector, maar over het algemeen 250 werknemers, jaaromzet van € 50 miljoen of balanstotaal van € 43 miljoen: 

• Energie 
• Transport 
• Financiën 
• Openbaar bestuur 
• Gezondheidszorg 
• Lucht- en ruimtevaart 
• Watervoorziening (drinkwater & afvalwater) 
• Digitale infrastructuur (bijv. cloud computing-dienstverleners en ICT-beheer)

Belangrijke Entiteiten (IE: “Important entities”) 

De drempelwaarde voor omvang varieert per sector, maar over het algemeen 50 werknemers, jaaromzet van € 10 miljoen of balanstotaal van € 10 miljoen: 

• Postdiensten 
• Afvalbeheer 
• Chemische industrie 
• Onderzoek 
• Voedselsector 
• Productie 
• Digitale dienstverleners (bijv. sociale netwerken, zoekmachines, online marktplaatsen) 

Industrieën die voor het eerst onder de oorspronkelijke richtlijn vielen, blijven binnen het bijgewerkte kader van de NIS2-richtlijn. Bovendien zullen bepaalde kleinere organisaties, die als kritiek worden beschouwd voor het functioneren van een lidstaat, worden opgenomen in het NIS2-kader om mogelijke problemen aan te pakken die kunnen ontstaan bij een cyberaanval.

De NIS2-richtlijn erkent ook dat bepaalde sectoren mogelijk al wetgeving op het gebied van cybersecurity hebben. Wanneer deze sector-specifieke wetten vergelijkbare of betere cybersecuritymaatregelen bieden dan die gespecificeerd in de NIS2-richtlijn, zullen die entiteiten niet worden gedekt door de toepasselijke secties van de richtlijn. De bepalingen van de NIS2-richtlijn blijven echter van toepassing op organisaties die niet worden gedekt door deze sector-specifieke wetgeving.

De NIS2-richtlijn introduceert nieuwe verplichtingen voor organisaties op vier hoofdgebieden:

• Risicobeheer

Organisaties moeten cyber risico's verminderen om aan de nieuwe richtlijn te voldoen. Incidentbeheer, verbeterde beveiliging van toeleveringsketens, betere netwerkbeveiliging, verbeterde toegangscontrole en versleuteling behoren tot de toegepaste methoden.

• Bedrijfsverantwoordelijkheid

NIS2 vereist dat het management toezicht houdt op, goedkeurt en wordt getraind in de cybersecurityprocedures van de entiteit en cyber risico's aanpakt. Het management kan sancties krijgen voor overtredingen, waaronder aansprakelijkheid en tijdelijke uitsluiting van managementposities.

• Rapportageverplichtingen

Essentiële en belangrijke entiteiten moeten systemen hebben om beveiligingsgebeurtenissen die een grote invloed hebben op hun dienstverlening of ontvangers zo snel mogelijk te melden. NIS2 specificeert meldingstermijnen, zoals een "early warning" van 24 uur.

• Bedrijfscontinuïteit

Organisaties moeten plannen hoe ze de bedrijfscontinuïteit zullen handhaven bij ernstige cyberincidenten. Deze strategie moet rekening houden met systeemherstel, noodprocedures en de vorming van een crisisteam.

Een goede manier om ervoor te zorgen dat uw bedrijf voldoet aan de NIS2-vereisten, is het behalen van ISO 27001-certificering (de NIS2-richtlijn verwijst specifiek naar ISO 27001). Hoewel ISO 27001 (Informatiebeveiliging, cybersecurity en privacybescherming) en de NIS2-richtlijn verschillende doelen dienen, vullen ze elkaar effectief aan. ISO 22301 behandelt daarentegen aspecten van Business Continuity Management (BCM), wat de algehele benadering van NIS2-implementatie verder versterkt.

Bekijk onze mapping tool voor een overzicht van het mappingproces tussen NIS2 en de ISO/IEC 27001-norm.

Naast 27001 en 22301 kunnen we een gap-analyse uitvoeren voor uw bedrijf. Onze experts zullen identificeren aan welke vereisten u al voldoet en welke stappen u nog moet nemen om NIS2-naleving te bereiken.

Aangezien een van de belangrijkste elementen van de NIS2-richtlijn de normen voor beoordeling van de beveiliging van toeleveringsketens zijn, heeft uw organisatie mogelijk een Supply Chain Audit nodig. Dit is nog een gebied waarop u kunt vertrouwen op onze professionele ondersteuning om NIS2-naleving te bereiken.

Duik verder in het onderwerp van NIS2-naleving:

• Lees onze brochure voor meer informatie over hoe ISO/IEC 27001 en ISO 22301 helpen om NIS2-compliance te garanderen of
• Bekijk onze handige mapping tool waarin de NIS2-vereisten worden vergeleken met de ISO/IEC 27001-norm

De deadline voor lidstaten om de NIS2-richtlijn in de nationale wetgeving te implementeren is 17 oktober 2024.

Als u niet voldoet aan de NIS2-richtlijn, terwijl uw organisatie binnen het toepassingsgebied valt, kunt u een boete krijgen van maximaal 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet (de hoogste van de twee). Naast de boete kunnen ook niet-monetaire sancties en strafrechtelijke sancties voor het management worden opgelegd.

Met betrekking tot administratieve boetes maakt de NIS2-richtlijn zorgvuldig onderscheid tussen essentiële en belangrijke entiteiten.

Als u meer wilt weten over sancties voor niet-naleving, download dan onze brochure.