NIS2, valt jouw bedrijf onder deze wet? Hoe bereid je je voor?
Op 17 oktober wordt de NIS2 richtlijn van kracht in Nederland. Althans, dat was de bedoeling. Anno vandaag (1-2-2024) bracht Yeşilgöz naar buiten dat haar departement deze deadline niet gaat halen. We kunnen dus nog even ademhalen.
Als eerste wil je natuurlijk weten of jouw bedrijf onder deze nieuwe NIS2 wet gaat vallen? Er wordt vaak gesproken over een directive maar het is gewoon (weer) een wet waar we ons aan moeten houden. We hadden natuurlijk al een NIS1, maar die was vooral van toepassing op grote organisaties die onderdeel zijn van Neerlands vitale (digitale) infrastructuur. Nu wordt de scope van deze NIS2 enorm uitgebreid.
Wil je hulp bij het implementeren van NIS2 in jouw organisatie? Neem dan contact op.
Ons Nationaal Cyber Security Center (NCSC) heeft een tool gemaakt waarmee je makkelijk kan checken of deze NIS2 op jouw organisatie van toepassing is. Check deze hier. En hieronder zie je de sectoren die onder deze wet vallen.
Stel, jouw organisatie valt onder deze nieuwe richtlijn, welke verplichtingen schrijft de NIS2-richtlijn voor? Alle organisaties die onder de NIS2-richtlijn zullen vallen, worden dus ingedeeld in ‘essentieel’ of ‘belangrijk’. Het verschil tussen de twee categorieën is de manier waarop er gehandhaafd wordt.
- Zorgplicht – De NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen.
- Meldplicht De NIS2 schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Registratieplicht – Entiteiten die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
- Toezicht – Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Wat betekent deze NIS2 in de praktijk?
Focus op bestuurders
Bestuurders van bedrijven onder de NIS2 krijgen extra aandacht. Kortom, bestuurders kunnen verantwoordelijk worden gehouden als zaken misgaan. Een nieuwe dimensie in aansprakelijkheid die organisaties dwingt tot meer verantwoordelijkheid. Een goed moment om de cybersecurity verzekering eens goed door te nemen en aansprakelijkheid af te dekken waar mogelijk.
Naleving en Sancties
Organisaties moeten binnenkort incidenten melden met strengere sancties bij niet-naleving. Denk aan schorsingen en boetes tot tien miljoen euro. Het is cruciaal niet alleen zelf te voldoen aan de NIS2-richtlijn, maar ook beveiligingsrisico’s bij leveranciers en in de keten te identificeren. De daadwerkelijke boetes en sancties zijn dus nog niet uitgewerkt maar gezien de toon deze “directive” zal streng worden gehandhaaft. Er worden al sancties van maximaal 10 miljoen euro genoemd.
Categorisering van organisaties
Elke organisatie onder de NIS2-richtlijn wordt ingedeeld als ‘essentieel’ of ‘belangrijk’. Ontdek het verschil in handhaving tussen deze twee categorieën en begrijp de impact op naleving.
Verplichtingen van de NIS2-Richtlijn
Duik in de verplichtingen van de NIS2-richtlijn, waaronder zorgplicht, meldplicht, registratieplicht en toezicht. Leer hoe je als bedrijf zelf risicobeoordelingen kan uitvoeren en passende maatregelen kan nemen.
Voorbereiding op de NIS2-Richtlijn
Praktische stappen voor organisaties om zich voor te bereiden op de NIS2-richtlijn:
- Voer een risicoanalyse uit van digitale dreigingen voor de dienstverlening.
- Implementeer maatregelen ter bescherming tegen identificeerde risico’s.
- Creëer procedures voor het detecteren, monitoren, oplossen en melden van incidenten die bedrijfsprocessen kunnen verstoren.
Deze nieuwe wet brengt behoorlijk wat nieuwe risico’s met zich mee op het gebied van voorbereiding en naleving. Er worden hoge boetes genoemd. Een goed moment om een specialist te betrekken om dit proces te borgen en 100% zekerheid te hebben dat jouw organisatie compliant is.
Ben je als organisatie reeds ISO 27001 gecertificeerd, dan zul je de nodige aanpassingen moeten maken in je beleidsdocumenten en procedures en de risicoanalyse. Met deze ISO 27001 certificering ben je operationeel natuurlijk klaar voor deze NIS2 norm maar je hebt uiteraard dezelfde verplichtingen en die moeten worden geïntegreerd in het ISMS.
Wil je hulp bij het implementeren van NIS2 in jouw organisatie? Neem dan contact op.