Europese NIS2 richtlijn cybersecurity
Ontvang een offerte op maat
Kiwa beschikt over diepgaande expertise op het gebied van testen, inspecteren en certificeren. Door deze kennis te koppelen aan onze kennis van cybersecurity, IoT-consumentenelektronica en Industriële Automatisering en Controle Systemen (IACS) helpt Kiwa bij het verhogen van hun cyberweerbaarheid en het verkrijgen van certificeringen conform normen als ISO 27001, NEN 7510 en IEC 62443.
Wat is NIS2?
NIS2 gaat uit van een risicogestuurde aanpak van informatiebeveiliging van een organisatie. De beoogde informatiebeveiliging die in de NIS2 directive wordt beschreven, is echter breder dan alleen de maatregelen die in de NIS2 genoemd worden. NIS2 stelt een niveau van informatiebeveiliging die gehaald moet worden, zonder volledige invulling te geven aan de maatregelen die daarmee gepaard gaan.
’De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.’
NIS2 doelstellingen:
- Het verhogen van de cyberweerbaarheid;
- Het verbeteren van het bewustzijnsniveau;
- Het mitigeren van cyberaanvallen.
Bereid u voor met een pre-audit/gap-analyse
Bent u van plan om uw organisatie te laten certificeren volgens een specifieke norm, maar weet u niet precies waar te beginnen? Of heeft u al een managementsysteem opgezet conform bijvoorbeeld ISO 9001, ISO 27001 of ISO 14001, maar bent u onzeker over hoe goed het voldoet aan de eisen voor certificering? Ontdek alles over onze pre-audit/gap-analyse.
Welke soorten organisaties worden onderscheiden?
1. Essentiële entiteiten:
- Grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie onderstaande tabel)
- Een organisatie is ‘groot’ op basis van de volgende criteria:
1. Meer dan 250 werknemers; of
2. Een netto-omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
2. Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en organisaties die actief zijn in een sector uit bijlage 2.
- Een organisatie is ‘middelgroot’ op basis van de volgende criteria:
1. Minimaal 50 werknemers; of
2. Een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
NIS2: Indeling sectoren
Sectoren bijlage 1 |
Sectoren bijlage 2 |
|
|
De NIS2-richtlijn brengt een aantal belangrijke wijzigingen met zich mee op het gebied van cybersecurity. Zo worden de eisen omtrent de handhaving van regels aangescherpt en zullen sancties in de hele EU gelden. Ook is het toepassingsgebied uitgebreid naar nieuwe sectoren. Bedrijven en organisaties waarop de richtlijn van toepassing is, moeten maatregelen nemen op het gebied van cyberrisicobeheer, penetratietesten, incident response en herstel. Als de organisatie niet voldoet aan de NIS2 directive loopt de organisatie het risico een financiële sanctie te krijgen, gebaseerd op de wereldwijde omzet.
Organisaties die goed voorbereid willen zijn op de komst van de NIS2-richtlijn doen er verstandig aan om niet af te wachten tot de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Maak een goede start met de volgende stappen:
- Breng de fysieke en digitale risico’s die de continuïteit van uw organisatie kunnen verstoren in kaart;
- Tref maatregelen om deze risico’s te mitigeren;
- Stel procedures vast die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
Verplichtingen NIS2
Zorgplicht
Volgens de NIS2-richtlijn dienen entiteiten een zorgplicht te vervullen door zelf een risicobeoordeling uit te voeren. Op basis hiervan moeten zij passende maatregelen nemen om hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.
Meldplicht
Entiteiten dienen incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren, binnen 24 uur te melden aan de toezichthouder. In geval van een cyberincident is het ook vereist om dit te melden bij het Computer Security Incident Response Team (CSIRT) voor mogelijke hulp en bijstand. Factoren die een incident meldingswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.
Registratieplicht
Entiteiten onder de NIS2-richtlijn moeten zich verplicht registreren. Deze registratie draagt bij aan een Europees overzicht van het aantal entiteiten dat onder de NIS2 valt.
Toezicht
Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht om de naleving van de richtlijn, inclusief de zorg- en meldplicht, te waarborgen. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder vallen.
Wanneer treedt NIS2 in werking?
Op 16 januari 2023 trad de NIS2 in werking. Het is nog niet duidelijk wanneer de wetgeving daadwerkelijk geïmplementeerd wordt. De verwachting is dat de Cyberbeveiligingswet het tweede kwartaal van 2026 in werking treedt.
Hoe het Incident Response-keurmerk organisaties helpt bij NIS2-compliance
De NIS2-richtlijn stelt strengere eisen aan cybersecurity en incidentmanagement voor vitale en essentiële organisaties binnen de Europese Unie. Organisaties moeten niet alleen hun eigen digitale systemen beveiligen, maar ook aantoonbaar kunnen reageren op cyberincidenten. Het CCV-keurmerk Incident Response biedt een praktische manier om deze eisen te vertalen naar aantoonbare acties en processen.
Voordelen van NIS2-compliance
Met Kiwa als partner kunt u efficiënt en structureel voldoen aan NIS2-compliance, de Europese richtlijn voor netwerk- en informatiebeveiliging. Deze nieuwe cybersecuritywetgeving helpt organisaties hun digitale weerbaarheid te versterken, te voldoen aan Europese eisen en het vertrouwen in de gehele keten te vergroten. De NIS2-richtlijn (Network and Information Security Directive) vervangt de eerdere NIS-richtlijn en verplicht organisaties in essentiële en belangrijke sectoren tot aantoonbare cyberveiligheid. Met NIS2-compliance toont u aan dat uw organisatie cybersecurity structureel heeft ingericht volgens erkende Europese normen.
Waarom kiezen voor Kiwa als uw NIS2-compliancepartner?
De Europese NIS2-richtlijn is de nieuwe standaard voor cybersecurity en digitale weerbaarheid. Deze richtlijn is van toepassing op organisaties in essentiële en belangrijke sectoren, zoals energie, transport, gezondheidszorg, digitale infrastructuur en industriële productie. Met aantoonbare NIS2-compliance laat uw organisatie zien dat u voldoet aan de strengste cyberveiligheidseisen, risico’s effectief beheerst en voldoet aan Europese cybersecuritywetgeving. Kiwa onderscheidt zich als een deskundige, onafhankelijke en betrouwbare partner voor het toetsen en versterken van uw NIS2-compliance. Hier leest u waarom.
Hoe bent u als organisatie cyberweerbaar en voldoet u aan NIS 2?
De nieuwe EU-richtlijn Network and Information Security (NIS 2) speelt een cruciale rol in het waarborgen van de digitale veiligheid van Europese lidstaten en hun vitale sectoren. Maar wat betekent de NIS 2-richtlijn precies voor organisaties en hoe kunnen zij concrete stappen ondernemen om eraan te voldoen?
Webinar NIS2, wat komt er op ons af?
Dinsdag 16 januari 2024 gingen Kiwa, BDO, Microsoft en Samen Digitaal Veilig in het webinar ‘NIS2, wat komt er op ons af?’ in op de gevolgen voor uw organisatie.
Bekijk ook:
Regelhulp voor bedrijven
De Rijksoverheid heeft twee tools die u helpen bij de volgende vragen:
- Is NIS2 van toepassing op mijn organisatie? Doe de zelfevaluatie;
- Hoe ver is mijn organisatie voorbereid op NIS2 implementatie? Doe de quickscan.
IEC 62443 certificering: Cybersecurity voor Industrial Automation & Control Systems (IACS)
De IEC 62443-standaard is bedoeld om Industrial Automation & Control Systems (IACS) te beveiligen. Het biedt een systematische en praktische aanpak die elk aspect van cyberbeveiliging voor industriële systemen omvat.
ISO 27001 certificering: bescherm uw bedrijfsinformatie
ISO 27001 certificatie helpt u informatiebeveiliging gestructureerd aan te pakken. Kiwa's experts hebben alles in huis om uw organisatie voor te bereiden op ISO 27001 certificering. We hebben veel ervaring met ISO 27001 certificatie, van stappenplan tot information security management systeem (ISMS).
NEN 7510 certificering: zorg voor uw vertrouwelijke informatie
Kiwa beschikt over veel ervaring met betrekking tot de NEN 7510 certificeringen. Deze norm betreft de eisen voor informatiebeveiliging in de zorg. Kijk hier voor meer info!
CCV-keurmerk Cybersecurity Awareness Training
Wilt u als aanbieder van awareness-trainingen rondom cybersecurity aantonen dat uw dienstverlening van hoge kwaliteit is? Vanaf 1 mei 2025 kunt u zich laten certificeren conform het CCV-keurmerk Awareness Training.
NIS2 Supply Chain: Aantoonbare cybersecurity-compliance
NIS2-certificering is een essentiële voorwaarde voor bedrijven die actief zijn in kritieke ketens of diensten leveren aan NIS2-plichtige organisaties. Met het NIS2 Supply Chain certificaat, voorheen NIS2 Quality Mark, toont u aan dat uw organisatie cyberweerbaar is én voldoet aan de nieuwe wettelijke eisen.
