Wat is de NIS2 (Cyberbeveiligingswet)?
Heb je de term NIS2 en/of Cyberbeveiligingswet al voorbij zien komen in de media en ben je benieuwd wat de wet inhoudt en betekent voor jouw organisatie? Op deze pagina vertellen we wat jij moet weten. Eén tipje van de sluier: wacht niet af maar ga nu al aan de slag!
Op 17 oktober 2024 is de Europese datum vastgesteld voor de implementatie van de NIS2-richtlijn (Network and Information Security Directive). Landen binnen de EU zullen de nieuwe NIS2-richtlijn stapsgewijs gaan invoeren, zo ook Nederland. De richtlijn wordt namelijk doorgevoerd in de Cyberbeveiligingswet.
Wat is de NIS2?
De NIS2-richtlijn is opgesteld met als doel: een verbetering realiseren van de digitale weerbaarheid van Europese lidstaten. Welke voordelen biedt deze richtlijn voor organisaties?
- De NIS2 verbetert de algehele cyberbeveiliging door vereiste maatregelen voor risicobeoordeling, beveiligingsmaatregelen en incidentrespons te implementeren. De weerbaarheid tegen cyberdreigingen wordt verhoogd en de NIS2 helpt organisaties sneller te herstellen van incidenten, waardoor de bedrijfscontinuïteit wordt gewaarborgd.
- De naleving van de NIS2-richtlijn versterkt het vertrouwen van klanten en stakeholders door te laten zien dat de organisatie serieus omgaat met cyberbeveiliging, wat essentieel is voor het beschermen van de reputatie en het aantrekken van nieuwe klanten.
- Naleving van de NIS2-richtlijn kan een concurrentievoordeel bieden door de organisatie te onderscheiden van concurrenten. Je bent een aantrekkelijke samenwerkingspartner wanneer je als onderneming aantoont dat je waarde hecht aan veiligheid en betrouwbaarheid.
Wat is de Cyberbeveiligingswet?
De Europese NIS2-richtlijn wordt omgezet naar Nederlandse wetgeving: de nieuwe Cyberbeveiligingswet. In de wet wordt onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Voldoe je hier niet aan maar werk je wel samen met een bedrijf die onder de wetgeving valt, dan moet de organisatie ook aan bepaalde eisen voldoen. Welke dit zijn? Scroll meteen verder naar de vraag: ik lever aan een NIS2-bedrijf, wat wordt er van mij verwacht?
Hoe weet ik of mijn organisatie onder de NIS2-richtlijn valt?
De NIS2-richtlijn heeft een focus op het bedrijfsleven, organisaties en de overheid. In de Cyberbeveiligingswet wordt onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Dit wordt gebaseerd op sector en grootte van een bedrijf. Als een bedrijf onder de NIS2 valt moet het aan een aantal verplichtingen voldoen. Let op: voldoe je hier niet aan maar werk je wél samen met een bedrijf die onder de wetgeving valt? Dan moet je aan bepaalde eisen voldoen.
Doe een zelfevaluatie en een quickscan
Wil je weten of jouw onderneming een essentiële of belangrijke entiteit en daarmee een zogenaamd NIS2-bedrijf is? Check dit via de NIS2 Zelfevaluatie. Ben je een NIS2-bedrijf dan is het belangrijk om vast te stellen waar de onderneming staat met betrekking tot de verplichtingen. Deze check dient te worden ingevuld door een IT’er binnen een organisatie. Mocht het om een kleine Mkb’er gaan, moet de IT-dienstverlener hierbij assisteren.
Aan welke plichten moet een NIS2-bedrijf voldoen?
Een bedrijf dat onder NIS2-valt, moet aan de volgende plichten voldoen:
- Zorgplicht: digitale risico’s beoordelen
Op basis van deze boordeling kan een NIS2-bedrijf passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesysteem te beschermen.
- Registratieplicht in het entiteitenregister
Deze registratie zorgt voor een compleet overzicht van het aantal Europese NIS2-bedrijven.
- Toezicht
Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.
- Meldplicht van incidenten
Incidenten die de essentiële dienstverlening aanzienlijk (kunnen) verstoren binnen moeten binnen 24 uur worden gemeld bij de toezichthouder. Cyberincidenten moeten ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
Ik lever aan een NIS2-bedrijf, wat wordt er van mij verwacht?
Ieder bedrijf, NIS2 of niet, moet de basis van hun cyberweerbaarheid op orde hebben. Want ook als je geen NIS2-bedrijf bent, ben je mogelijk wel onderdeel van een keten. Daardoor kun je geconfronteerd worden met eisen uit de Cyberbeveiligingswet. Denk aan het hebben van een bepaald cyberweerbaarheidsniveau en het aantoonbaar maken van dit niveau.
Ook kan er om een cyberrisico-inventarisatie worden gevraagd. Je kunt nu al met deze documentatie beginnen door inzichtelijk te maken welke systemen worden gebruikt, welke risico’s daarbij horen en hoe deze risico’s zijn afgedekt. Het DTC heeft hier voor het eerste basisprincipe een mooi overzicht over gemaakt.
PVO helpt je graag om je basis op orde te krijgen.
Bekijk het aanbod in jouw regio!Wat als mijn bedrijf samenwerkt met bedrijven uit andere landen waar de NIS2 al wel is ingevoerd?
Doe je zaken met (NIS2-)bedrijven over de grens? Let er dan op dat het per land kan verschillen wanneer de Cyberbeveiligingswet ingaat. Mogelijk doe je zaken met een land waarbij de wet al eerder van kracht is dan in Nederland. Uiteindelijk zal de wet gelden in elk Europees land, dus het is verstandig om hier alvast mee aan de slag te gaan.