Wat is de NIS2-richtlijn en hoe belangrijk gaat dit worden voor jouw bedrijf in 2024?

    Rik Boelhouwer
    12 december 2023

    De NIS2-richtlijn voor cyberbeveiliging is al actief, maar wordt in 2024 voor veel bedrijven een groot punt van aandacht om financiële sancties te voorkomen. Wat deze richtlijn inhoudt, voor wie de NIS2 geldt en hoe je daar als organisatie zo snel mogelijk aan kunt voldoen, lees je in deze blog.

    We zijn afhankelijk geworden van digitale systemen om onze dagelijkse activiteiten uit te voeren, te werken en gezond te blijven. We maken gebruik van dienstverleners zoals telecomdiensten, transport, waterreiniging, banken, de Belastingdienst, de zorg, en het onderwijs: de zogenaamde essentiële dienstverleners. We kunnen het ons niet veroorloven als deze systemen platliggen door cybercriminelen.

    Daarom heeft de EU in 2016 de eerste Directive on Security of Network and Information Systems (NIS1-richtlijn) opgesteld om cybersecurity voor essentiële dienstverleners vanuit de overheid te versterken. Maar sinds 14 december 2022 is de NIS1-richtlijn aangevuld met de NIS2-richtlijn: ook andere ‘belangrijke’ dienstverleners moeten aan deze Europese cybersecuritywetgeving voldoen.

    Wat is de NIS2-richtlijn?

    De NIS2-richtlijn is een lijst van criteria waar een ‘essentiële’ of ‘belangrijke’ dienstverlener op het gebied van cybersecurity aan moet voldoen om zich tegen cybercriminaliteit te beschermen. Denk hierbij aan zaken als het managen van cyberrisico’s, het uitvoeren van penetratietests, het snel reageren op incidenten en het herstellen van eventuele schade. Het doel van NIS2 is om meer bedrijven te betrekken bij de bescherming van hun netwerk- en informatiesystemen. De NIS2 is al sinds december vorig jaar actief, maar vóór september 2024 moeten de desbetreffende organisaties aan de eisen voldoen. Daarom wordt 2024 het jaar waarin cybersecurity een belangrijker aandachtspunt wordt dan ooit.

    Als een bedrijf niet voldoet aan de eisen van NIS2, kan dit leiden tot financiële sancties. Deze straffen kunnen oplopen tot boetes van €10 miljoen of 2% van de totale wereldwijde omzet van de organisatie, afhankelijk van welk getal hoger is. Het is dus van groot belang voor bedrijven om aan de NIS2 te voldoen om financiële boetes te voorkomen.

    Voor wie geldt de NIS2-richtlijn?

    We noemden hierboven al een aantal essentiële dienstverleners. Dat zijn bedrijven die diensten leveren die de samenleving of de economie draaiende houden, zoals elektriciteitsbedrijven, het openbaar vervoer of zorginstellingen. Hier geldt de NIS1-richtlijn dus al voor.

    Belangrijke dienstverleners – die zich nu aan de NIS2-richtlijnen moeten houden – zijn bedrijven die diensten leveren waar veel mensen gebruik van maken. Zoals ICT, zoekmachines zoals Google, cloud computing, online marktplaatsen, post-en koeriersdiensten of sociale media.

    Op de website van de Rijksoverheid staat een online test waarmee je kunt controleren of jouw organisatie aan de NIS2-richtlijn moet voldoen.

    Wat zijn de eisen bij de NIS2-richtlijn?

    Kort samengevat: de NIS2-richtlijn moet ervoor zorgen dat essentiële en belangrijke organisaties continuïteit van hun dienstverlening kunnen waarborgen door preventief in te zetten op cyberbeveiliging, monitoring en een sterk beleid en procedures wanneer er risico’s zijn of wanneer er zich een cyberincident heeft voorgedaan.

    • De zorgplicht: maatregelen om de beveiliging van informatiesystemen te waarborgen. Zoals het uitvoeren van risicobeoordelingen, aandacht voor crisismanagement, beveiligen van de toeleveringsketen, gebruik van cryptografie en encryptie, en beleid en procedures voor risicobeheersing. Ook moeten organisaties meewerken aan inspecties en controles door bevoegde autoriteiten.
    • Reactieve of proactieve monitoring: reactieve monitoring betekent monitoring naar aanleiding van een incident (voor belangrijke organisaties). Proactieve monitoring is vereist bij essentiële organisaties. Dat betekent dat er altijd gemonitord moet worden.
      • De meldplicht: wanneer er een cyberincident heeft plaatsgevonden, moet er een twee-fasen-melding worden gemaakt binnen 24 uur en een uitgebreid rapport worden ingediend bij de Rijksinspectie Digitale Infrastructuur (RDI).

    Welke maatregelen kun je als organisatie nemen om te voldoen aan de NIS2-wetgeving?

    Het ICT-beheer uitbesteden kan je helpen om zo snel mogelijk de juiste stappen te zetten om aan de criteria van de NIS2 te voldoen. Wij zijn als ICT-bedrijf goed op de hoogte van de richtlijnen en kunnen jouw organisatie helpen om de juiste ICT-protocollen en beleid in te richten. Ook zijn wij gespecialiseerd in het monitoren en afweren van risico’s op cyberaanvallen, evenals crisismanagement.

    Dus ga voor de makkelijkste, snelste en meest betrouwbare manier en schakel ICTSG in: de cyberbeveiliging wordt op de achtergrond goed geregeld, terwijl jouw organisatie zorgeloos door kan gaan met de dagelijkse dienstverlening. Benieuwd naar de mogelijkheden voor jouw organisatie? Neem vrijblijvend contact met ons op!

    Schrijf in voor onze nieuwsbrief