Hulp nodig bij de NIS2?
Heb je na het lezen van deze blog nog vragen over NIS2? Of wil je weten hoe jouw organisatie zich optimaal kan voorbereiden? Neem gerust contact met ons op. Wij ondersteunen je graag bij iedere stap!
Sinds 17 oktober 2024 geldt de NIS2-richtlijn voor netwerk- en informatiebeveiliging in de Europese Unie. Vanaf het derde kwartaal van 2025 wordt deze richtlijn vertaald naar de Nederlandse wetgeving: de Cyberbeveiligingswet (Cbw/NIS2) en de Wet weerbaarheid kritieke entiteiten (Wwke/CER). Er is werk aan de winkel, want duizenden bedrijven dreigen klanten te verliezen door onvoldoende compliance aan deze belangrijke cyberrichtlijn. Wat houdt NIS2 in, wie valt eronder en hoe zorg je voor NIS2-compliance? Je leest het hier.
DDoS-aanvallen, ransomware en diefstal van belangrijke data: Europa wordt steeds vaker getroffen door cyberaanvallen. Deze cyberaanvallen worden ook gericht op maatschappelijk belangrijke instanties, zoals energiecentrales, ziekenhuizen en digitale infrastructuur. Om deze groeiende cyberdreiging in Europa te bestrijden, heeft de Europese Unie de NIS2-richtlijn opgesteld. Deze richtlijn verdiept de veiligheidsmaatregelen van de oude NIS-richtlijn en tilt de cyberbeveiliging van Europa naar een hoger niveau.
De NIS2-richtlijn: |
|
De NIS2-richtlijn breidt de reikwijdte uit naar meer sectoren, door de richtlijn benoemd als ‘belangrijke’ en ‘essentiële’ sectoren. NIS2-sectoren zijn vooral aanbieders van essentiële en digitale diensten, zoals energie, transport, gezondheid, infrastructuur, maar bijvoorbeeld ook fabrikanten van digitale apparatuur. Valt jouw organisatie onder de Nederlandse NIS2-richtlijn?
Energie - levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten |
Essentieel |
Transport - via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten) |
Essentieel |
Bankieren/financiën – krediet, handel, markt en infrastructuur |
Essentieel |
Gezondheid - zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen |
Essentieel |
Water - drinkwaterleveranciers en afvalwaterbeheerders |
Essentieel |
Digitale infrastructuur en IT-diensten - DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten |
Essentieel |
Openbaar bestuur - (centraal, regio's + lokaal optioneel) |
Essentieel |
Space - exploitanten van infrastructuur op de grond |
Essentieel |
Post- en koeriersdiensten aanbieders |
Belangrijk |
Afvalbeheer |
Belangrijk |
Chemische producten - productie en distributie |
Belangrijk |
Voedsel - distributie en productie |
Belangrijk |
Fabrikanten - medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen |
Belangrijk |
Digitale aanbieders - online marktplaatsen, zoekmachines, sociale platforms |
Belangrijk |
Onderzoeksorganisaties |
Belangrijk |
Valt jouw organisatie onder de NIS2-richtlijn of werk je samen met organisaties die onder de richtlijn vallen? Bereid je dan zo snel mogelijk voor op de verplichtingen van de nieuwe wetgeving. Zo is jouw organisatie weerbaar voor cyberaanvallen en riskeer je geen boetes en sancties. De verplichtingen van de NIS2-richtlijn worden samengevat in de volgende drie plichten:
Alle essentiële en belangrijke organisaties moeten zich verplicht registreren in het entiteiten register van het Nationaal Cyber Security Centrum (NSCS).
Organisaties moeten voldoen aan tien standaard veiligheidsmaatregelen en zijn verplicht een risicoanalyse uit te voeren. Daarmee breng je in kaart welke stappen jouw organisatie nog moet nemen om aan de verplichte veiligheidsmaatregelen te voldoen.
Geregistreerde entiteiten moeten binnen 24 uur melding doen van ‘significante incidenten’ bij het Computer Security Incident Response Team (CSIRT). Dit zijn incidenten die een ernstige operationele verstoring veroorzaken of zorgen voor grote financiële verliezen van de organisatie. Organisaties zijn ook verplicht om deze incidenten naderhand te onderzoeken en te rapporteren.
De weg naar NIS2-compliance is voor elke organisatie verschillend. Waarschijnlijk loopt jouw organisatie ook op tegen specifieke uitdagingen rond informatiebeveiliging. Eén manier om je voor te bereiden op NIS2, is via ISO 27001-certificering. Veel procedures en processen die je doorloopt voor ISO 27001, zoals beveiligingsbeoordelingen, risicobeoordelingen en audits, zijn ook vereist voor NIS2. Een organisatie met een ISO 27001-certificaat hoeft dus nog maar enkele stappen te doorlopen voor NIS2-compliance!
Heb je na het lezen van deze blog nog vragen over NIS2? Of wil je weten hoe jouw organisatie zich optimaal kan voorbereiden? Neem gerust contact met ons op. Wij ondersteunen je graag bij iedere stap!