NIS2-in-het-kort-wat-u-moet-weten-voor-uw-organisatie

NIS2; in het kort wat u moet weten voor uw organisatie

Door •

De NIS2-richtlijn is een versterking van de eerdere NIS1-richtlijn en richt zich op de risico’s voor netwerk- en informatiesystemen die worden gebruikt voor dienstverlening.

De Nederlandse regering werkt sinds januari 2023 aan de Cyberbeveiligingswet, die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen bij inwerkingtreding. De Cyberbeveiligingswet treedt naar verwachting in het tweede kwartaal van 2026 in werking.

Belangrijkste onderdelen

De wet heeft een grote impact op Nederlandse organisaties en omvat de volgende belangrijke onderdelen:

  • Onderscheid tussen essentiële en belangrijke entiteiten: Organisaties die onder de wet vallen, worden ingedeeld in een van deze twee categorieën.
  • Meer sectoren en organisaties: Meer sectoren en organisaties dan onder de bestaande wetgeving moeten aan de nieuwe regels voldoen.
  • Zorg-, registratie- en meldplicht: Organisaties moeten voldoen aan een zorgplicht, registratieplicht en meldplicht.
  • Bestuurlijke aansprakelijkheid en opleidingsplicht: Bestuurders van organisaties vallen onder bestuurlijke aansprakelijkheid en moeten een opleiding volgen.
  • Toezicht en handhaving: Er worden mechanismen ingesteld om toezicht te houden en de wet te handhaven.
  • Computer Security Incident Response Teams (CSIRTs): Er wordt een systeem van CSIRTs opgezet om NIS2-entiteiten bijstand te verlenen.

Valt uw organisatie eronder?

Of een organisatie onder de Cyberbeveiligingswet valt, hangt af van de sector waarin zij actief is en de omvang van de organisatie. De richtlijn is van toepassing op kritieke organisaties en sectoren waarvan het uitvallen van diensten kan leiden tot maatschappelijke en economische ontwrichting.

De grootte van een organisatie wordt bepaald op basis van de volgende criteria:

Grote organisaties:

  • Minimaal 250 werknemers, of
  • Een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

Middelgrote organisaties:

  • Tussen de 50 en 249 werknemers, of
  • Een jaaromzet tussen de € 10 miljoen en € 50 miljoen, en een balanstotaal tussen de € 10 miljoen en € 43 miljoen.

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn, tenzij de verantwoordelijke vakminister besluit een specifiek micro- of kleinbedrijf aan te wijzen op basis van een risicobeoordeling. Dit kan gebeuren als hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.

Sectoren onder de wet

Organisaties die actief zijn in de volgende sectoren vallen onder de Cyberbeveiligingswet:

  • Zeer kritieke sectoren: Energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten, lokale overheden en ruimtevaart.
  • Andere kritieke sectoren: Digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, vervaardiging en onderzoek.

Domeinnaamregistratiediensten vallen ook onder de wet, ongeacht hun omvang. Overheidsinstanties, zoals ministeries, provincies, gemeenten en waterschappen, worden altijd als essentiële entiteiten beschouwd, tenzij ze zich bezighouden met nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Onderwijs in het algemeen valt niet onder deze wet maar er is ruimte voor de Minister van Onderwijs, Cultuur en Wetenschap om het hogere onderwijs segment wel erbij te trekken via een ministeriële regeling.

Wat betekent dit voor uw organisatie?

Organisaties die onder de Cyberbeveiligingswet vallen, moeten aan verschillende verplichtingen voldoen:

  • Registratieplicht: Organisaties moeten zich registreren in een entiteitenregister via een online voorziening van het Nationaal Cyber Security Centrum (NCSC). Vrijwillige registratie is al mogelijk sinds 17 oktober 2024.
  • Zorgplicht: Organisaties moeten zelf een risicoanalyse uitvoeren en op basis daarvan passende en evenredige maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Bestuursleden zijn verplicht deze maatregelen goed te keuren, toezicht te houden op de uitvoering ervan en een opleiding te volgen. Maatregelen die onder de zorgplicht vallen, zijn onder andere risicoanalyses, beveiliging van de toeleveranciersketen, en het gebruik van multifactorauthenticatie.
  • Meldplicht: Organisaties zijn verplicht significante incidenten te melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. De eerste melding is een vroegtijdige waarschuwing die binnen 24 uur na waarneming van het incident moet plaatsvinden. Een significant incident is een incident dat een ernstige operationele verstoring of financiële verliezen kan veroorzaken voor de entiteit, of aanzienlijke materiële of immateriële schade kan toebrengen aan andere entiteiten.
  • Toezicht: Er wordt toezicht gehouden op de naleving van de wet, met name op de zorg- en meldplicht. Essentiële entiteiten vallen onder proactief toezicht, terwijl bij belangrijke entiteiten toezicht achteraf plaatsvindt. Sancties kunnen zich richten op de entiteit, maar in uiterste gevallen ook op individuele bestuurders.

Concreet kunt u uitgaan van de volgende set van 10 todo’s die vallen onder de zorgplicht:

  1. Risicoanalyse en beveiliging van informatiesystemen;
  2. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
  4. Incidentenbehandeling;
  5. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging voor je personeel;
  6. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  7. Beveiliging van de toeleveranciersketen;
  8. Beleid en procedures over het gebruik van cryptografie en encryptie;
  9. Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
  10. Beleid en procedures om de effectiviteit van beheersen van cyberbeveiligingsrisico’s te beoordelen.

Ondersteuning van de Rijksoverheid

De Cyberbeveiligingswet verplicht lidstaten essentiële en belangrijke entiteiten te ondersteunen in het verhogen van hun weerbaarheid tegen digitale dreigingen. In Nederland wordt deze ondersteuning geleverd door verschillende sectorale CSIRTs en door het Nationaal Cyber Security Centrum (NCSC) als nationaal CSIRT voor sectoroverkoepelende taken.

Sinds 17 oktober 2024 is de NIS2-richtlijn van kracht in de Europese Unie. Hoewel de verplichtingen zoals de zorg-, meld- en registratieplicht in Nederland nog niet gelden, hebben organisaties wel het recht om bijstand te ontvangen van een CSIRT in geval van een cyberincident. Het NCSC voert vanaf die datum al taken uit, waaronder het verlenen van bijstand bij incidenten, het ontvangen van meldingen en het delen van informatie over cyberdreigingen.

Lees u verder in via deze websites, met name de laatste link is een handig document:

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (EU, NIS, Overheid ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: EU, NIS, Overheid
Lees meer

Ook interessant

Scroll naar boven