Terug naar blog
    Compliance

    NIS2 begrijpen: Wat Europese organisaties moeten weten

    Sectricity Security TeamDecember 22, 2024

    Als uw organisatie actief is binnen de EU, of diensten levert aan in de EU gevestigde bedrijven, is het begrijpen van NIS2 niet langer optioneel, het is een zakelijke noodzaak. Dit is wat u moet weten over de richtlijn en hoe u zich kunt voorbereiden op naleving.

    NIS2Compliance

    Wat is NIS2?

    De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Hoewel de eerste versie de basis legde voor cybersecurity in de EU, was er vaak kritiek dat deze inconsistent was en een te beperkte reikwijdte had.

    NIS2 heeft als doel de cybersecurity-eisen en de handhaving daarvan in alle EU-lidstaten te harmoniseren. De richtlijn is begin 2023 officieel in werking getreden en de lidstaten moesten deze uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet (in Nederland bekend als de Cyberbeveiligingswet).

    Op wie is het van toepassing?

    Een van de grootste veranderingen in NIS2 is het enorme aantal organisaties dat eronder valt. De richtlijn is nu van toepassing op een veel breder scala aan sectoren, onderverdeeld in twee categorieën:

    1. Essentiële entiteiten (EE)

    Dit zijn sectoren die cruciaal zijn voor de economie en de samenleving, zoals:

    • Energie (Elektriciteit, olie, gas, waterstof)
    • Transport (Luchtvaart, spoor, water, weg)
    • Bankwezen en financiële marktinstellingen
    • Gezondheidszorg (Inclusief laboratoria en productie van medische apparatuur)
    • Drinkwater en afvalwater
    • Digitale infrastructuur (Cloudproviders, datacenters, DNS)
    • Overheidsdiensten

    2. Belangrijke entiteiten (BE)

    Dit zijn sectoren die vitaal zijn, maar onder een iets minder streng toezicht vallen:

    • Post- en koeriersdiensten
    • Afvalbeheer
    • Chemische stoffen (Productie en distributie)
    • Levensmiddelen (Productie, verwerking en distributie)
    • Verwerkende industrie (Medische hulpmiddelen, elektronica, machinebouw)
    • Digitale aanbieders (Online marktplaatsen, zoekmachines)

    De omvangsregel: Over het algemeen is NIS2 van toepassing op alle middelgrote en grote ondernemingen in deze sectoren (bedrijven met 50+ werknemers of een jaaromzet/balanstotaal van meer dan €10 miljoen).

    Belangrijkste eisen van NIS2

    NIS2 verschuift de focus van "vinkjes zetten" naar het implementeren van een proactieve risicobeheercultuur. De belangrijkste eisen zijn:

    1. Bestuurlijke aansprakelijkheid

    Dit is wellicht de meest ingrijpende verandering. Onder NIS2 kan het hoger management persoonlijk aansprakelijk worden gesteld voor tekortkomingen op het gebied van cybersecurity. Besturen moeten cybersecurity-maatregelen goedkeuren en regelmatig trainingen volgen om de risico's te begrijpen.

    2. Strikte incidentmelding

    Organisaties moeten een strak tijdschema volgen voor het melden van "significante" incidenten:

    • 24-uurs vroege waarschuwing: Aan de nationale autoriteit of het CSIRT.
    • 72-uurs incidentmelding: Met een eerste beoordeling.
    • Eindrapport na 1 maand: Een gedetailleerde analyse van het incident en de impact ervan.

    3. Beveiliging van de toeleveringsketen

    Organisaties zijn nu verantwoordelijk voor de veiligheid van hun gehele toeleveringsketen. U moet de cybersecurity-praktijken van uw externe leveranciers en dienstverleners beoordelen en ervoor zorgen dat zij aan de vereiste normen voldoen.

    4. Robuuste beveiligingsmaatregelen

    Entiteiten moeten "all-hazards" risicobeheer implementeren, waaronder:

    • Cryptografie en encryptie.
    • Multi-factor authenticatie (MFA).
    • Plannen voor bedrijfscontinuïteit en crisisbeheer.
    • Behandeling en openbaarmaking van kwetsbaarheden.

    De kosten van niet-naleving

    De EU neemt handhaving serieus. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de totale wereldwijde jaaromzet, afhankelijk van wat hoger is. Voor belangrijke entiteiten ligt het maximum op €7 miljoen of 1,4% van de wereldwijde omzet.

    Naast boetes hebben autoriteiten de bevoegdheid om certificeringen op te schorten of zelfs individuen tijdelijk te verbieden managementfuncties uit te oefenen.

    Hoe u uw organisatie kunt voorbereiden

    Als u nog niet bent begonnen met uw NIS2-traject, is dit het moment. Hier zijn vier stappen om aan de slag te gaan:

    1. Bepaal uw status: Stel vast of uw organisatie onder de categorie "Essentieel" of "Belangrijk" valt op basis van uw sector en omvang.
    2. Voer een gap-analyse uit: Vergelijk uw huidige cybersecurity-status met de NIS2-vereisten. Waar liggen de kwetsbaarheden?
    3. Beoordeel uw toeleveringsketen: Begin met het auditen van uw leveranciers. Zorg ervoor dat contracten cybersecurity-eisen bevatten die in lijn zijn met NIS2.
    4. Informeer de C-suite: Zorg ervoor dat uw directie begrijpt dat cybersecurity nu een wettelijke en persoonlijke verantwoordelijkheid is, en niet alleen een IT-kwestie.

    Conclusie

    De NIS2-richtlijn markeert een keerpunt voor de Europese cybersecurity. Hoewel de eisen veeleisend zijn, is het doel een veiligere, veerkrachtigere digitale economie. Door NIS2 te zien als een kans om uw organisatie te versterken in plaats van alleen als een nalevingsobstakel, beschermt u uw reputatie, uw gegevens en uw bedrijfsresultaat.

    Is uw organisatie klaar voor NIS2? Neem contact op met ons team voor een adviesgesprek over hoe u uw digitale infrastructuur kunt afstemmen op de nieuwe EU-normen.