Alles over de NIS2-richtlijn

Introductie tot NIS2: Waarom deze richtlijn cruciaal is voor bedrijven

In het snel veranderende landschap van digitale transformatie heeft de Europese Unie (EU) de NIS 2.0-richtlijn geïntroduceerd om de cyberbeveiliging te versterken. Deze richtlijn benadrukt het belang van informatiebeveiliging en stelt hogere beveiligingsnormen voor netwerk- en informatiesystemen. Organisaties die niet voldoen, riskeren zowel juridische als strategische gevolgen, vooral gezien de groeiende aanvallen op kritische sectoren. In deze grensoverschrijdende digitale wereld is actie essentieel. Ontdek hier wat NIS2 inhoudt en waarom het cruciaal is voor Nederlandse bedrijven.

Wil je een handig en deelbaar overzicht van de NIS2 richtlijn?

Download de gratis NIS2 directive PDF

Wat is NIS2?

De NIS2 richtlijn, formeel bekend als de Network and Information Security directive, is de nieuwste stap van de Europese Unie in haar streven naar een robuustere cyberbeveiliging binnen haar lidstaten. Deze richtlijn is niet zomaar een opvolger van de oorspronkelijke NIS-richtlijn, maar een uitgebreidere en strengere versie die bedoeld is om de weerbaarheid van essentiële diensten in de EU te versterken.

De afgelopen jaren hebben diverse mondiale gebeurtenissen, variërend van de COVID-19 pandemie en geopolitieke spanningen tot aanhoudende cyberdreigingen, de noodzaak voor versterkte cyberbeveiliging onderstreept. In reactie hierop heeft de Europese Unie sinds 2020 gewerkt aan de ontwikkeling van de NIS2 directive. Het doel? De digitale en economische weerbaarheid van de lidstaten verhogen.

Ondanks een groeiend bewustzijn van cybersecurity, tonen analyses van security-incidenten en datalekken aan dat veel van deze incidenten voorkomen hadden kunnen worden met zorgvuldigere maatregelen. NIS2 is ontworpen om organisaties te dwingen hun cybersecurity te verbeteren en een bepaald minimumniveau te garanderen. De richtlijn benadrukt het belang van protectie, detectie, respons en herstel.

NIS2 checklist

Om bedrijven te helpen bepalen of ze onder de NIS2 vallen, hebben we een handige NIS2 checklist. Ontdek alles wat je moet weten over de NIS2-richtlijn en of jouw organisatie eronder valt.

Bekijk de NIS2 checklist

NIS2: voor wie geldt de richtlijn?

Waar de oorspronkelijke NIS-richtlijn zich voornamelijk richtte op essentiële bedrijven zoals water- en telecombedrijven, gaat NIS2 verder. Deze nieuwe richtlijn omvat een breder scala aan sectoren en stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. Bovendien is de NIS2 niet alleen gericht op grote organisaties. Ook MKB-bedrijven die essentiële diensten leveren of leveranciers zijn van dergelijke diensten, vallen nu onder deze richtlijn.

Organisaties worden gecategoriseerd als ‘Essentiële’ of ‘Belangrijke’ entiteiten:

Essentiële entiteiten: Dit zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn. Ze hebben minimaal 250 werknemers of een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Belangrijke entiteiten: Dit zijn middelgrote organisaties uit bijlage I en zowel middelgrote als grote organisaties uit bijlage II. Ze hebben minimaal 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Essentiële entiteiten worden strenger gemonitord dan belangrijke entiteiten, met zowel voor- als achteraf toezicht. Belangrijke entiteiten hebben een lichter toezichtsregime.

Sectoren onder de NIS2-richtlijn

De NIS2-richtlijn omvat zowel sectoren die al onder de eerste NIS-richtlijn vielen als nieuwe toegevoegde sectoren. De belangrijkste sectoren die onder de NIS2-richtlijn vallen zijn:

✓ Sectoren (bijlage 1):

Energie, Transport, Infrastructuur financiële markt, Gezondheidszorg, Drinkwater, Digitale infrastructuur, Afvalwater, Overheidsdiensten, Ruimtevaart, Beheerders van ICT Diensten, Bankwezen.

✓ Sectoren (bijlage 2):

Digitale aanbieders, Post- en koeriersdiensten, Afvalstoffenbeheer, Levensmiddelen, Chemische stoffen, Onderzoek, Vervaardiging/manufacturing.

Uitzonderingen

Micro- en kleine bedrijven vallen doorgaans niet onder de NIS2-richtlijn. Echter, op basis van een risicobeoordeling kunnen ze alsnog worden aangewezen als van cruciaal belang voor de Nederlandse economie of maatschappij. Bepaalde micro- en kleine bedrijven, zoals aanbieders van vertrouwensdiensten of domeinnaamregistratiediensten, vallen wel automatisch onder de NIS2-richtlijn.

De NIS2-richtlijn omvat nu ook de overheidssector. Overheidsinstanties die voornamelijk actief zijn op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn echter uitgesloten van de NIS2-richtlijn.

Vergelijking tussen NIS1 en NIS2

Terwijl de NIS1-richtlijn zich richtte op specifieke essentiële sectoren, breidt de NIS2-richtlijn de lijst uit met sectoren zoals afvalwater, ruimtevaart, afvalstoffenbeheer, chemische stoffen, vervaardiging/manufacturing, en meer.

Ontdek of jouw organisatie onder de NIS2 richtlijn valt

NIS2 vereisten en plichten

In de context van een steeds veranderende digitale wereld, heeft de Europese Unie de NIS2-richtlijn geïntroduceerd om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te versterken. Hieronder worden de belangrijkste vereisten en plichten van de NIS2-richtlijn uiteengezet.

Zorgplicht

De NIS2-richtlijn benadrukt het belang van proactieve maatregelen. Organisaties worden verplicht om zelfstandig een risicobeoordeling uit te voeren. Op basis van deze beoordeling dienen zij passende maatregelen te nemen om hun diensten te waarborgen en de gebruikte informatie adequaat te beschermen.

Om organisaties te helpen bij het voldoen aan deze zorgplicht, specificeert de NIS2 in artikel 21 een reeks maatregelen die als leidraad kunnen dienen:

Risicobeoordeling voor beveiliging van informatiesystemen.
Opstellen van beleid en procedures voor de beoordeling van de effectiviteit van risicobeheersmaatregelen.
Hanteren van een basisniveau van cyberhygiëne.
Zorgen voor crisismanagement en waarborgen van operationele continuïteit bij een groot cyberincident.
Veiligheid van de toeleveringsketen waarborgen.
Waarborgen van veiligheid van netwerk- en informatiesystemen, waaronder het reageren op en communiceren van kwetsbaarheden.
Digitale veiligheid van personeel waarborgen, inclusief toegangsbeleid en het beveiligen van de digitale bedrijfsmiddelen.
Inzetten van cryptografie en versleuteling.
Multifactor authenticatie toepassen en/of zorgen voor beveiligde communicatie.
Uitvoeren van reactieve monitoring na een incident en proactieve monitoring, ook buiten incidenten om.

Het voldoen aan deze strengere eisen kan complex zijn, maar Eshgro kan hierbij ondersteunen. Met geavanceerde beveiligingssystemen en grondige tests zorgt Eshgro ervoor dat kritische bedrijfsdata beschermd blijft. Eshgro Security specialiseert zich in het continu veilig houden van ICT-infrastructuren, met 24×7 security monitoring vanuit ons Security Operations Center (SOC).

Meldplicht

Incidenten die de essentiële dienstverlening aanzienlijk kunnen verstoren, moeten binnen 24 uur bij de toezichthouder worden gemeld. Daarnaast is er een specifieke verplichting voor cyberincidenten, die ook bij het Computer Security Incident Response Team (CSIRT) gemeld moeten worden. Dit team staat vervolgens klaar om hulp en bijstand te bieden. Factoren die bepalen of een incident meldingswaardig is, omvatten onder andere het aantal getroffen personen, de duur van een verstoring en eventuele financiële verliezen.

Toezicht

De NIS2-richtlijn introduceert een uitgebreid toezichtsregime. Organisaties die onder de richtlijn vallen, worden onderworpen aan onafhankelijk toezicht om te waarborgen dat zij voldoen aan de verplichtingen van de richtlijn, zoals de zorg- en meldplicht. Het exacte kader van dit toezicht, inclusief welke toezichthouder verantwoordelijk zal zijn voor welke sector, wordt momenteel nog verder uitgewerkt.

Ontdek hoe Eshgro jou kan helpen met de NIS2 plichten

Niet naleven van NIS2: Boete

Het niet voldoen aan de NIS2 kan ernstige gevolgen hebben voor bedrijven. Naast de potentiële schade aan hun reputatie kunnen bedrijven ook te maken krijgen met aanzienlijke NIS2 boetes. Deze boetes kunnen oplopen tot een aanzienlijk percentage van hun jaarlijkse omzet. Hieronder een overzicht van de mogelijke gevolgen:

Non-compliance NIS2 voor essentiële entiteiten:

Boetes kunnen oplopen tot een maximum van €10.000.000. Of een boete die gelijk is aan 2% van de wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.

Non-compliance NIS2 voor belangrijke entiteiten:

Boetes kunnen oplopen tot een maximum van €7.000.000. Of een boete die gelijk is aan 1,4% van de wereldwijde jaaromzet van het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.

Naast deze financiële sancties zijn er ook indirecte gevolgen van niet-naleving:

Reputatieschade: Het niet voldoen aan de NIS2-richtlijn kan leiden tot schade aan de reputatie van een organisatie, wat op zijn beurt kan resulteren in verlies van vertrouwen bij klanten en stakeholders.
Verlies van klanten: Klanten kunnen ervoor kiezen om hun zaken elders te doen als ze het gevoel hebben dat een organisatie hun gegevens niet adequaat beschermt.

Het is dus van cruciaal belang voor organisaties om zich bewust te zijn van hun verplichtingen onder de NIS2-richtlijn en ervoor te zorgen dat ze volledig voldoen aan alle vereisten om dergelijke sancties en indirecte gevolgen te voorkomen.

Voorkom een boete: Neem contact met ons op

Voldoen aan de NIS2: Hoe Eshgro kan helpen

“In het hedendaagse digitale landschap is het cruciaal om niet alleen te voldoen aan regelgeving zoals de NIS2, maar ook om daadwerkelijk een robuuste en veerkrachtige digitale infrastructuur te hebben. Eshgro begrijpt de complexiteit en de uitdagingen die komen kijken bij het voldoen aan dergelijke richtlijnen. Daarom bieden we gespecialiseerde oplossingen die niet alleen zorgen voor compliance, maar ook voor een versterkte digitale verdediging. Of je nu op zoek bent naar continue monitoring, grondige informatiebeveiliging of diepgaande penetratietests, Eshgro heeft de expertise en tools om je organisatie te ondersteunen.”

Bekijk al onze security oplossingen

Ben jij klaar voor NIS2?

Neem contact op

De NIS2-richtlijn introduceert een reeks nieuwe vereisten en verantwoordelijkheden die aanzienlijke gevolgen kunnen hebben voor jouw bedrijfsvoering. Maar hoe kun je met zekerheid stellen dat jouw organisatie aan alle eisen voldoet? En hoe bereid je je voor op de uitdagingen die deze richtlijn met zich meebrengt?

Om je hierbij te helpen, bieden wij persoonlijk advies en begeleiding aan. Ons team van experts staat klaar om je vragen te beantwoorden en je te begeleiden bij het navigeren door de complexiteiten van de NIS2-richtlijn.

Wacht niet tot het te laat is. Neem de controle over jouw digitale toekomst en zorg ervoor dat je klaar bent voor de NIS2-richtlijn. Neem contact met ons op via het contactformulier en zet vandaag nog de eerste stap naar een veiligere en compliant digitale omgeving voor jouw organisatie.

Voornaam*
Achternaam*
Bedrijfsnaam*
Sector (maak je keuze)*
Organisatiegrootte (maak je keuze)*
Telefoonnummer*
E-mailadres*
Vraag / opmerking*
Nieuwsbrief
- Ja, ik ontvang graag tips, inzichten en inspirerende blogs van Eshgro
CAPTCHA
Velden met een * zijn verplicht
Je gegevens zijn veilig. Door het formulier te verzenden, ga je akkoord met de privacyverklaring.

NIS2-richtlijn