NIS2

De belangrijkste topics op één pagina overzichtelijk weergegeven

Blijf altijd op de hoogte van de meest recente NIS2-updates via deze pagina. Daarnaast hebben we eveneens een handig overzicht voor u samengesteld. Met deze gratis NIS2-infographic heeft u de belangrijkste key-points altijd bij de hand.

Toepassingsgebied van NIS2: sectoren en organisaties van vitaal belang

NIS richtte zich op de gezondheidszorg, vervoer, bankwezen en financiële marktinfrastructuur, digitale infrastructuur, watervoorziening, energie en digitale dienstverleners.

NIS2 heeft een veel bredere reikwijdte en is van toepassing op sectoren en organisaties die van vitaal belang zijn voor de maatschappij:

- Aanbieders van telecomdiensten en energievoorziening.
- Beheerders van spoorweginfrastructuur.
- Afval- en waterbeheerbedrijven.
- Financiële dienstverleners.
- Post- en koeriersdiensten.
- Fabrikanten van medische hulpmiddelen.
- Overheidsdiensten.

Voor deze sectoren en organisaties is het noodzakelijk om te voldoen aan de vereisten en verplichtingen van de NIS2-richtlijn, met als doel de cybersecurity te versterken en de bescherming tegen cyberdreigingen te verbeteren.

NIS2 Zelfevaluatie NL

Door op de link te klikken gaat u door naar een website van de overheid, hier vind u alle informatie betreft NIS2.

NIS2: De Nieuwe Europese Richtlijn voor Netwerk- en Informatiebeveiliging

NIS2 is de afkorting voor Network & Information Systems. NIS2 is de nieuwe Europese richtlijn voor de beveiliging van netwerk- en informatiesystemen die van essentieel belang zijn voor de openbare veiligheid. De voorganger uit 2016 – de NIS – kon de toegenomen cybersecurity gevaren, denk aan ransomware, malware, phishing en DDos-aanvallen onvoldoende het hoofd bieden. Er is de afgelopen jaren hard gewerkt aan de ontwikkeling van NIS2. Belangrijkste verschillen:

- Meer sectoren en bedrijven vallen onder de nieuwe NIS2 richtlijn.
- Strengere toezichts- en sanctiemaatregelen.
- Rapportageverplichtingen tussen lidstaten worden geharmoniseerd.

NIS2 heeft als doel om data zo optimaal mogelijk te beschermen in een maatschappij die een grote digitale transformatie ondergaat en waarbij het dreigingslandschap zich met een ongekende snelheid uitbreidt.

Informatiebulletin NIS2

Bekijk de preview van ons nieuwe NIS2-informatiebulletin. Wenst u het volledige boekje vol met informatie over NIS2 te ontvangen? Vul dan het formulier in en wij sturen het NIS2-informatiebulletin per e-mail.

Verplichtingen vanuit de NIS2-richtlijn: Zorgplicht, Meldplicht en Toezicht

De NIS2-richtlijn legt verschillende verplichtingen op aan entiteiten. Allereerst is er de zorgplicht, waarbij een organisatie een risicobeoordeling moet (laten) uitvoeren. Op basis daarvan moeten er passende maatregelen worden genomen om essentiële diensten te waarborgen en informatie te beschermen.

Daarnaast omvat de richtlijn een meldplicht. Entiteiten moeten incidenten die de essentiële dienstverlening ernstig kunnen verstoren binnen 24 uur melden aan de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand kan verlenen. Criteria voor meldingswaardige incidenten zijn onder andere het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen.

Ten slotte worden organisaties die onder de richtlijn vallen, onder toezicht geplaatst. Een onafhankelijke toezichthouder zal de naleving van de verplichtingen, zoals de zorg- en meldplicht controleren. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Gevolgen van NIS2


De NIS2 richtlijn heeft diverse gevolgen voor organisaties. Hieraan zullen ook boetes verbonden worden wanneer men niet aan bepaalde eisen voldoet. NIS2 hanteert 10 basismaatregelen die alle bedrijven moeten aanpakken en implementeren volgens artikel 21 van het NIS-document. Het regelen voor het beheer van cyberbeveiligingsrisico’s:

10 Basismaatregelen NIS2

- Beleid met betrekking tot risicoanalyse en beveiliging van informatiesystemen.
- Incidentenbehandeling.
- Bedrijfscontinuïteit, inclusief back-upbeheer, noodvoorzieningenplannen en crisisbeheer.
- Beveiliging van de toeleveringsketen, inclusief relaties met leveranciers of dienstverleners.
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.
- Beoordeling van de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's.
- Basispraktijken op het gebied van cyberhygiëne en opleiding in cyberbeveiliging.
- Beleid en procedures voor het gebruik van cryptografie en encryptie.
- Beveiligingsaspecten met betrekking tot personeel, toegangsbeleid en beheer van activa.
- Gebruik van multi-factor authenticatieoplossingen of continue authenticatieoplossingen, beveiligde communicatie en noodcommunicatiesystemen.

Sommige maatregelen kunnen mogelijkerwijze al deels worden nageleefd, maar de volgende 3 worden als de grootste uitdagingen beschouwd.

Top 3 Uitdagingen NIS2

- Beleid met betrekking tot risicoanalyse en beveiliging van informatiesystemen.
- Incidentenbehandeling.
- Bedrijfscontinuïteit, inclusief back-upbeheer, noodvoorzieningenplannen en crisisbeheer.

Tijdlijn: van EU-richtlijnen naar nationale wetgeving

2022
Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad. Op 9 december 2022 is de CER-richtlijn vastgesteld.

Op 27 december zijn de NIS2- en CER-richtlijn gepubliceerd in de Official Journal van de Europese Unie.
2023
In januari 2023 is de implementatietermijn van 21 maanden gestart, waarin de richtlijnen moeten worden opgenomen in nationale wetgeving.

In het najaar van 2023 start een internetconsultatie-periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen. De wetsvoorstellen worden gepubliceerd op internetconsultatie.nl. De exacte datum waarop de consultatie start is nog niet bekend.
2024
Naar verwachting zullen de wetten eind 2024 in werking treden, nadat deze door het parlement zijn behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Vanaf eind 2024 zullen ministeries per sector organisaties aanwijzen die onder de CER-richtlijn vallen. Wanneer het betrokken ministerie een organisatie aanwijst als kritieke entiteit, dan ontvangt deze organisatie hierover bericht.

Kunnen wij u helpen met
uw NIS2-zaken?

Heeft u hulp nodig om uw organisatie NIS2-compliant te maken? Wacht niet te lang en neem contact met ons op en maak een afspraak! Onze NIS2-experts hebben nog een aantal mogelijkheden in Q1 en Q2 2024.