Wat is de NIS2 wetgeving?
De NIS2 wetgeving is de herziening van de Network and Information Security Directive (NIS). In Nederland kennen we deze wet als Cyberbeveiligingswet (de CBW). Wat is het doel van de NIS2? De NIS2 zorgt ervoor dat essentiële diensten de weerbaarheid en cyberbeveiliging verbeteren. De Europese Unie (EU) heeft de lijst met essentiële diensten vergroot waardoor meer bedrijven zich gaan bezighouden met cyberveiligheid. Ook hebben ze strengere richtlijnen vastgesteld om indecenten te voorkomen en te melden.
Sinds 2020 werkt de EU aan de NIS2. Het doel is om de digitale en economische weerbaarheid binnen de Europese lidstaten te verbeteren. Waarom is dit van belang? Onze (digitale) veiligheid staat steeds meer onder druk. Dit komt bijvoorbeeld door de pandemie, de oorlogen en klimaatveranderingen. De strengere richtlijnen moeten onze maatschappij gaan beschermen tegen cyberrisico’s.
Hoe ziet de NIS2 wetgeving eruit?
De NIS2 bestaat uit drie onderdelen: zorgplicht, meldplicht en toezicht. Organisaties moeten zelf een risicobeoordeling uitvoeren. Na een beoordeling, neemt de organisatie de juiste maatregelen om cyberveiligheid te bewaken. Voor elke sector gelden er specifieke regels. De EU zal in de toekomst meer duidelijk geven om welke regels dit betreft. Organisaties ondernemen de volgende aspecten bij een zorgplicht:
- Firewall en updates installeren
- Back-ups maken
- Organisatie trainen in cyberveiligheid
- Met leveranciers samenwerken voor digitale veiligheid
Heeft er een incident plaatsgevonden waardoor een systeem niet meer kan werken of ernstig wordt bedreigd? Dan is een organisatie verplicht om dat te melden. Dit moet binnen 24 uur bij de toezichthouder. Bij een cyberincident moet je dit ook melden bij het Computer Security Incident Response Team (CSIRT). Wat moet je melden? Bijvoorbeeld de tijdsduur van de verstoring en financiële verliezen. Na 72 uur ben je verplicht om een uitgebreider rapport te maken.
Als jouw organisatie binnen de NIS2 wetgeving valt, krijg je te maken met verplicht toezicht. De toezichthouder moet volgens de richtlijnen onafhankelijk zijn. Waar controleert de toezichthouder op? Hij controleert of jouw organisatie zich houdt aan de zorg- en meldplicht. Houdt jouw organisatie zich niet aan de richtlijnen? Dan mag de toezichthouder boetes geven of het toezicht verscherpen.
Welke sectoren vallen onder de NIS2 wetgeving?
De Europese Unie heeft in een lijst vastgesteld welke sectoren binnen de richtlijnen vallen. Hoe bepalen zij dit? Als er bij uitval sprake is van maatschappelijke en economische ontwrichting bij uitval, dan is de sector kritisch. De lijst bestaat uit zeer kritische sectoren en kritische sectoren. De sectoren onder zeer kritisch zijn:
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Lokale diensten
- Ruimtevaart
Sectoren onder kritisch:
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging
Hoe weet ik of mijn organisatie valt onder (zeer) kritische sector?
Er zijn verschillende voorwaarden die bepalen of jouw organisatie moet voldoen de wetgeving. Goed om te vermelden is dat deze regeling geldt voor grote en middelgrote organisaties. Micro- en kleine bedrijven vallen niet onder de NIS2 wetgeving. Hieronder lees je de voorwaarden. Als je aan één van de twee eisen voldoet, valt jouw organisatie onder de NIS2 wetgeving. Voor grote organisaties:
- Zijn er minimaal 250 mensen werkzaam of
- De jaaromzet groter dan 50 miljoen per jaar en een balanstotaal van meer als 43 miljoen euro
Voor middelgrote organisaties:
- Er zijn minimaal 50 tot 249 mensen werkzaam of
- De jaaromzet is groter dan 10 miljoen per jaar, maar lager dan 50 miljoen. En het balanstotaal is meer dan 10 miljoen, maar minder dan 43 miljoen.
Val je binnen deze eisen? Dan is er een grote kans jouw organisatie moet voldoen aan de NIS2 wetgeving.
Wat zijn je plichten als organisatie?
Per 17 oktober 2024 is de NIS2 op Europees niveau ingegaan. Nu is het de taak om dit op landelijk niveau rond te krijgen. In Nederland wordt dit doorvertaald in de Cyberbeveiligingswet. Aangezien dit nog in de maak is, hebben de organisaties voor nu geen plichten. Wel is het verstandig om je te oriënteren. Aan welke zaken moet je bijvoorbeeld denken:
- Onderzoeken of jouw organisatie in de kritische sector valt
- Zit je in de kritische sector Controleer de grootte van jouw organisatie en of je aan de voorwaarden voldoet
- Onderzoek de zorgplicht, meldplicht en toezicht en hoe je daar invulling aan kan geven
- Schakel hulp in
Ik heb een webshop, welke regels gelden voor mij?
Als webshop eigenaar val je binnen de sector digitale aanbieders. Je zit dus met jouw organisatie in een kritische sector. Heb je een grote of middelgrote onderneming? Check dan of je aan de NIS2 wetgeving moet naleven en neem de juiste stappen.
Word of advice
Ben je een kleine webshop? Dan hoef je voor nu niet te voldoen aan de NIS2 wetgeving. Maar ons advies is om jouw webshop wel zoveel mogelijk naar deze richtlijnen in te richten. We raden dit aan op basis van twee argumenten. Stel jouw webshop groeit, en dat is natuurlijk wat je wilt, dan is er een grote kans dat jouw organisatie binnen de NIS2 wetgeving valt. Als je dan de richtlijnen in grote lijnen al volgt, hoef jouw organisatie niet veel aan te passen.
Daarnaast neemt het aantal cyberaanvallen steeds meer toe. Het is daarom ook logisch dat de Europese Unie deze wet introduceert. Niet alleen door de maatschappelijke dreigingen (zoals de oorlogen), maar hackers worden ook steeds slimmer. Hackers kunnen binnen enkele uren of dagen een aanval uitvoeren. In het verleden hadden de hackers hier weken tot maanden voor nodig. De ontwikkeling laat zien dat hackers steeds sneller opereren en organisaties worden hiervan de dupe.
Wil je meer lezen over de NIS2 wetgeving. Klik dan op dit linkje.