Krijgt mijn organisatie straks te maken met de nieuwe NIS2-richtlijn?

Op 17 oktober 2024 treedt de nieuwe NIS2-richtlijn voor netwerk- en informatiebeveiliging in werking. Want door een groeiende zorg over toenemende cyberdreigingen én de maatschappelijke afhankelijkheid van IT, zijn strengere EU-eisen nodig. Valt jouw organisatie onder deze richtlijn en welke stappen moet je dan ondernemen? Lees het in deze blog!

Lees hieronder verder

Ho, wacht eens even! Gaan we iets te snel? Wat houdt deze nieuwe richtlijn eigenlijk precies in?

NIS2-richtlijn: dit betekent het

Met als doel de cyberbeveiliging te verbeteren, heeft het Europees Parlement eind 2022 ingestemd met de herziene Network and Information Systems Directive (EU) 2022/0383 (NIS2). Deze vernieuwde Europese richtlijn richt zich op vitale infrastructuren, introduceert strengere beveiligingseisen, behandelt de beveiliging van toeleveringsketens, vereenvoudigt rapportageverplichtingen en voert strengere toezichts- en handhavingsmaatregelen in.

Meer organisaties worden geraakt door NIS2: de jouwe ook?

Bovendien is de doelgroep van de NIS2-richtlijn uitgebreid ten opzichte van de eerste NIS-richtlijn, ook wel bekend als de NIB. Meer organisaties en sectoren zullen maatregelen moeten gaan nemen. Goed om te weten: NIS2 richt zich ook op de gehele toeleveringsketen, waarin onderscheid gemaakt wordt tussen 'essentiële entiteiten' en 'belangrijke entiteiten'.

Organisaties die niet te typeren zijn als essentieel, maar wel zakendoen met deze partijen, krijgen daarom met de nieuwe richtlijn te maken. Ook kleine toeleveranciers in de MKB bijvoorbeeld. En het verschil tussen essentiële entiteiten en belangrijke entiteiten? Dat zit hem voornamelijk in het niveau van financiële sancties en het type toezicht. Ontdek hieronder in de tabel waarin jouw organisatie valt.

We spreken van een essentiële entiteit als de organisatie minimaal 250 werknemers heeft of een jaaromzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen. Een belangrijke entiteit categoriseert zich als de organisatie minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan €10 miljoen. Deze organisaties moeten hun toeleveringsketen ook compliant aan de NIS2 maken. 

Bron: Ministerie van justitie en veiligheid

Essentiële en belangrijke entiteiten per sector

Energie - levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten

Essentieel

Transport via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten)

Essentieel

Bankieren/financiën – krediet, handel, markt en infrastructuur

Essentieel

Gezondheid - zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen

Essentieel

Water - drinkwaterleveranciers en afvalwaterbeheerders

Essentieel

Digitale infrastructuur en IT-diensten - DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten

Essentieel

Openbaar bestuur - (centraal, regio's + lokaal optioneel)

Essentieel

Space - exploitanten van infrastructuur op de grond

Essentieel

Post- en koeriersdiensten aanbieders

Belangrijk

Afvalbeheer

Belangrijk

Chemische producten - productie en distributie

Belangrijk

Voedsel - distributie en productie

Belangrijk

Fabrikanten: medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen

Belangrijk

Digitale aanbieders - online marktplaatsen, zoekmachines, sociale platforms

Belangrijk

Onderzoeksorganisaties

Belangrijk

 

Valt jouw organisatie onder de NIS2, dan zijn dit de consequenties

Allereerst natuurlijk de naleving. Je bent verplicht om de beveiligingsmaatregelen strikt na te leven én te voldoen aan rapportageverplichtingen. Dit omvat onder andere het verkrijgen van de juiste certificeringen en het melden van ernstige incidenten aan de relevante autoriteiten. Daarnaast: toegenomen aansprakelijkheid. Als jouw onderneming niet aan de NIS2-richtlijn voldoet en daardoor gevoelige informatie lekt, kun je aansprakelijk worden gesteld voor de gevolgen hiervan. Dat geldt ook voor elk persoon in een leidinggevend orgaan (MT).

Speciaal voor jou: een NIS2 checklist!

Welke acties moet je nu ondernemen? Waar moet je allemaal aan denken? Neem hieronder onze NIS2 checklist door.

  • Identificeer kritieke systemen en diensten middels een risicoanalyse voor cyberbeveiligingsrisico's.
  • Zorg voor back-ups, noodherstel en crisisbeheermaatregelen.
  • Beoordeel risico's van externe leveranciers en dienstverleners.
  • Evalueer configuraties en kwetsbaarheidsbeheer, ook bij de leveranciers!
  • Onderzoek incidentrespons en registratieprocessen.
  • Beoordeel beleid en procedures voor cybersecurity-effectiviteit.
  • Beoordeel bewustzijn en naleving van het computerbeleid.
  • Evalueer het gebruik van cryptografie en encryptie.
  • Controleer personeel, toegangscontrole en activabeheer.
  • Implementeer MFA voor externe en beheeraccounts, vooral voor essentiële systemen.

 

Begint het je een beetje te duizelen? Dat snappen we! Eén mogelijk pad om te bewandelen is het implementeren van een Information Security Management System (ISMS) volgens een norm zoals ISO 27001. Maar, uiteindelijk is de route naar het voldoen aan de NIS2-richtlijn voor iedere organisatie anders; we gaan er dan ook graag met je over in gesprek.

Cyberweerbare machines?

De NIS2-richtlijn moet ervoor zorgen dat organisaties, en ook machines, cybercrimeweerbaar worden. Over dit thema hebben we een whitepaper uitgebracht. We zoeken daarin uit wat de impact kan zijn op de cyberweerbaarheid van je operationele omgeving en hoe je cyberproblemen kunt voorkomen. Nu en in de toekomst.

Meer weten?

Heb je hulp of advies nodig bij de implementatie van een information security management systeem? Of zit je met een andere vraag? Neem contact met ons op. We helpen je graag verder. 

Contact Advies is nooit ver weg
Actueel

Onze nieuwste artikelen

AI & privacy: 5 tips om verantwoord met kunstmatige intelligentie om te gaan

Lees verder

Whitepaper: Kansen en bedreigingen omtrent AI

Lees verder

3 tips om als organisatie Cyberweerbaar te worden

Lees verder

Persoonlijk

Innovatief

Pragmatisch

Vakkundig