Meer weten?
Heb je hulp of advies nodig bij de implementatie van een information security management systeem? Of zit je met een andere vraag? Neem contact met ons op. We helpen je graag verder.
Op 17 oktober 2024 treedt de nieuwe NIS2-richtlijn voor netwerk- en informatiebeveiliging in werking. Want door een groeiende zorg over toenemende cyberdreigingen én de maatschappelijke afhankelijkheid van IT, zijn strengere EU-eisen nodig. Valt jouw organisatie onder deze richtlijn en welke stappen moet je dan ondernemen? Lees het in deze blog!
Ho, wacht eens even! Gaan we iets te snel? Wat houdt deze nieuwe richtlijn eigenlijk precies in?
Met als doel de cyberbeveiliging te verbeteren, heeft het Europees Parlement eind 2022 ingestemd met de herziene Network and Information Systems Directive (EU) 2022/0383 (NIS2). Deze vernieuwde Europese richtlijn richt zich op vitale infrastructuren, introduceert strengere beveiligingseisen, behandelt de beveiliging van toeleveringsketens, vereenvoudigt rapportageverplichtingen en voert strengere toezichts- en handhavingsmaatregelen in.
Bovendien is de doelgroep van de NIS2-richtlijn uitgebreid ten opzichte van de eerste NIS-richtlijn, ook wel bekend als de NIB. Meer organisaties en sectoren zullen maatregelen moeten gaan nemen. Goed om te weten: NIS2 richt zich ook op de gehele toeleveringsketen, waarin onderscheid gemaakt wordt tussen 'essentiële entiteiten' en 'belangrijke entiteiten'.
Organisaties die niet te typeren zijn als essentieel, maar wel zakendoen met deze partijen, krijgen daarom met de nieuwe richtlijn te maken. Ook kleine toeleveranciers in de MKB bijvoorbeeld. En het verschil tussen essentiële entiteiten en belangrijke entiteiten? Dat zit hem voornamelijk in het niveau van financiële sancties en het type toezicht. Ontdek hieronder in de tabel waarin jouw organisatie valt.
We spreken van een essentiële entiteit als de organisatie minimaal 250 werknemers heeft of een jaaromzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen. Een belangrijke entiteit categoriseert zich als de organisatie minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan €10 miljoen. Deze organisaties moeten hun toeleveringsketen ook compliant aan de NIS2 maken.
Bron: Ministerie van justitie en veiligheid
Energie - levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten |
Essentieel |
Transport via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten) |
Essentieel |
Bankieren/financiën – krediet, handel, markt en infrastructuur |
Essentieel |
Gezondheid - zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen |
Essentieel |
Water - drinkwaterleveranciers en afvalwaterbeheerders |
Essentieel |
Digitale infrastructuur en IT-diensten - DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten |
Essentieel |
Openbaar bestuur - (centraal, regio's + lokaal optioneel) |
Essentieel |
Space - exploitanten van infrastructuur op de grond |
Essentieel |
Post- en koeriersdiensten aanbieders |
Belangrijk |
Afvalbeheer |
Belangrijk |
Chemische producten - productie en distributie |
Belangrijk |
Voedsel - distributie en productie |
Belangrijk |
Fabrikanten: medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen |
Belangrijk |
Digitale aanbieders - online marktplaatsen, zoekmachines, sociale platforms |
Belangrijk |
Onderzoeksorganisaties |
Belangrijk |
Allereerst natuurlijk de naleving. Je bent verplicht om de beveiligingsmaatregelen strikt na te leven én te voldoen aan rapportageverplichtingen. Dit omvat onder andere het verkrijgen van de juiste certificeringen en het melden van ernstige incidenten aan de relevante autoriteiten. Daarnaast: toegenomen aansprakelijkheid. Als jouw onderneming niet aan de NIS2-richtlijn voldoet en daardoor gevoelige informatie lekt, kun je aansprakelijk worden gesteld voor de gevolgen hiervan. Dat geldt ook voor elk persoon in een leidinggevend orgaan (MT).
Welke acties moet je nu ondernemen? Waar moet je allemaal aan denken? Neem hieronder onze NIS2 checklist door.
Begint het je een beetje te duizelen? Dat snappen we! Eén mogelijk pad om te bewandelen is het implementeren van een Information Security Management System (ISMS) volgens een norm zoals ISO 27001. Maar, uiteindelijk is de route naar het voldoen aan de NIS2-richtlijn voor iedere organisatie anders; we gaan er dan ook graag met je over in gesprek.
De NIS2-richtlijn moet ervoor zorgen dat organisaties, en ook machines, cybercrimeweerbaar worden. Over dit thema hebben we een whitepaper uitgebracht. We zoeken daarin uit wat de impact kan zijn op de cyberweerbaarheid van je operationele omgeving en hoe je cyberproblemen kunt voorkomen. Nu en in de toekomst.
Heb je hulp of advies nodig bij de implementatie van een information security management systeem? Of zit je met een andere vraag? Neem contact met ons op. We helpen je graag verder.