NIS2: Wat is het en waarom is het belangrijk

Wat is NIS2?

NIS staat voor Network Information System. In Nederland wordt dit ook de NIB-richtlijn genoemd – Netwerk en Informatie Beveiliging -. Deze Europese richtlijn heeft als doel de algemene cyberweerbaarheid te verhogen. De overheid schrijft hier zelf over:  ‘Bepaalde processen zijn zo essentieel voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid. Deze processen vormen de Nederlandse vitale infrastructuur. Elektriciteit, toegang tot internet, drinkwater en betalingsverkeer zijn voorbeelden van vitale processen.’ 

Twee factoren zijn belangrijk in deze nieuwe richtlijn; de zorgplicht en meldplicht. De zorgplicht houdt in dat organisaties de nodige maatregelen moeten treffen gericht op digitale veiligheid en bedrijfscontinuïteit. NIS2 geeft een aantal aandachtsgebieden zoals een gedegen risicoanalyse, beveiliging van de toeleveringsketen en incidentenafhandeling. In een later blog gaan we dieper in op deze maatregelen en welke ondersteuning je van ons als ICT-partner hierin kunt verwachten.

De meldplicht is vergelijkbaar met de reeds ingevoerde AVG-wetgeving waarbij specifieke eisen aan meldingen worden gesteld zoals reactiesnelheid en rapportages.

Voor wie wordt de NIS2 richtlijn verplicht?

Ten opzicht van NIS1 is het aantal sectoren dat valt onder NIS2 uitgebreid. De sector bepaalt of NIS2 van toepassing is, in combinatie met bedrijfsgrootte en/of omzet. Binnen de sectoren is er nog een onderscheid tussen essentiële en belangrijke sectoren. De overheid heeft een online tool ontwikkeld waarmee je direct kunt zien in hoeverre NIS2 op jouw bedrijf van toepassing is: NIS2 Zelf evaluatietool

Dit overzicht laat zien welke sectoren vallen onder NIS2:

NIS2 geldt in de basis alleen voor bedrijven in deze sectoren groter dan 50 fte en/of 10 mln. omzet echter, als toeleverancier van een NIS2 organisatie ben je verplicht om NIS2 compliant te zijn.

In oktober 2023 heeft het Digital Trust Center, dat onderdeel is van het Ministerie van Economische Zaken en Milieu, een Webinar georganiseerd waarin veel over NIS2 wordt uitgelegd. Wij raden het aan dit Webinar terug te kijken mocht NIS2 op jouw organisatie van toepassing zijn of als je meer achtergrondinformatie wilt hebben: De impact van NIS2 op jouw organisatie.

LOSNING en NIS2

Is NIS2 op jouw organisatie van toepassing, dan zijn wij, als ICT-partner direct betrokken bij je zorgplicht. Met onze ISO27001 certificering is dit deel van je verantwoordelijkheid gewaarborgd. Werk je als organisatie volledig in de LOSNING Cloud, dan zijn veel maatregelen die vallen onder de zorgplicht al door ons geregeld zoals bijvoorbeeld een zero-trust-back-upbeheer, MFA en netwerkbeveiliging . Een sterke digitale security is wat ons betreft geen kwestie van vinkjes om boetes te voorkomen. Als ICT-partner vinden wij dat iedere organisatie de NIS2 richtlijnen zou moeten volgen om optimale cybersecurity te waarborgen. Bovendien kunnen we ondersteunend zijn in de risicoanalyse en het definiëren van benodigde maatregelen.

Tot slot

NIS2 is geen vrijblijvende richtlijn en wordt op dit moment vertaald naar nationale wetgeving. Organisaties moeten straks aan deze nieuwe wetgeving voldoen. Bestuursleden zijn hoofdelijk aansprakelijk en de richtlijn eist dat zij een specifieke opleiding volgen. Meer duidelijkheid over verantwoordelijkheden en toezicht zullen later dit jaar volgen. Officieel is NIS2 volgens Europese richtlijnen sinds 17 oktober 2024 geldig echter, de werking van nationale wetgeving wordt pas in het 3e kwartaal 2025 verwacht.

Wij volgen NIS2 op de voet en zullen regelmatig updates geven zodra mee details bekend zijn. In een volgend blog gaan we dieper in op de aandachtsgebieden binnen de zorgplicht en wat je van ons, als ICT-partner, kunt verwachten en welke ondersteuning we je kunnen bieden.