Kiwa beschikt over diepgaande expertise op het gebied van testen, inspecteren en certificeren. Door deze kennis te koppelen aan onze kennis van cybersecurity, IoT-consumentenelektronica en Industriële Automatisering en Controle Systemen (IACS) helpt Kiwa bij het verhogen van hun cyberweerbaarheid en het verkrijgen van certificeringen conform normen als ISO 27001, NEN 7510 en IEC 62443.
Wat is NIS2?
NIS2 gaat uit van een risicogestuurde aanpak van informatiebeveiliging van een organisatie. De beoogde informatiebeveiliging die in de NIS2 directive wordt beschreven, is echter breder dan alleen de maatregelen die in de NIS2 genoemd worden. NIS2 stelt een niveau van informatiebeveiliging die gehaald moet worden, zonder volledige invulling te geven aan de maatregelen die daarmee gepaard gaan.
’De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.’
NIS2 doelstellingen:
- Het verhogen van de cyberweerbaarheid;
- Het verbeteren van het bewustzijnsniveau;
- Het mitigeren van cyberaanvallen.
Is NIS2 van toepassing op uw organisatie?
Is uw organisatie actief binnen de sectoren die van vitaal belang zijn voor de Nederlandse maatschappij? Dan moet u aan de NIS2-richtlijn voldoen. De Rijksoverheid heeft twee tools ontwikkeld die u helpen bij de volgende vragen:
- Is NIS2 van toepassing op mijn organisatie? Doe de zelfevaluatie;
- Hoe ver is mijn organisatie voorbereid op NIS2 implementatie? Doe de quickscan.
Welke soorten organisaties worden onderscheiden?
1. Essentiële entiteiten:
- Grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie onderstaande tabel)
- Een organisatie is ‘groot’ op basis van de volgende criteria:
1. Meer dan 250 werknemers; of
2. Een netto-omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
2. Belangrijke entiteiten
- Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en organisaties die actief zijn in een sector uit bijlage 2.
- Een organisatie is ‘middelgroot’ op basis van de volgende criteria:
1. Minimaal 50 werknemers; of
2. Een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
NIS2: Indeling sectoren
Sectoren bijlage 1 |
Sectoren bijlage 2 |
|
|
De NIS2-richtlijn brengt een aantal belangrijke wijzigingen met zich mee op het gebied van cybersecurity. Zo worden de eisen omtrent de handhaving van regels aangescherpt en zullen sancties in de hele EU gelden. Ook is het toepassingsgebied uitgebreid naar nieuwe sectoren. Bedrijven en organisaties waarop de richtlijn van toepassing is, moeten maatregelen nemen op het gebied van cyberrisicobeheer, penetratietesten, incident response en herstel. Als de organisatie niet voldoet aan de NIS2 directive loopt de organisatie het risico een financiële sanctie te krijgen, gebaseerd op de wereldwijde omzet.
Organisaties die goed voorbereid willen zijn op de komst van de NIS2-richtlijn doen er verstandig aan om niet af te wachten tot de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Maak een goede start met de volgende stappen:
- Breng de fysieke en digitale risico’s die de continuïteit van uw organisatie kunnen verstoren in kaart;
- Tref maatregelen om deze risico’s te mitigeren;
- Stel procedures vast die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.
Verplichtingen NIS2
- Zorgplicht: Volgens de NIS2-richtlijn dienen entiteiten een zorgplicht te vervullen door zelf een risicobeoordeling uit te voeren. Op basis hiervan moeten zij passende maatregelen nemen om hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.
- Meldplicht: Entiteiten dienen incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren, binnen 24 uur te melden aan de toezichthouder. In geval van een cyberincident is het ook vereist om dit te melden bij het Computer Security Incident Response Team (CSIRT) voor mogelijke hulp en bijstand. Factoren die een incident meldingswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.
- Registratieplicht: Entiteiten onder de NIS2-richtlijn moeten zich verplicht registreren. Deze registratie draagt bij aan een Europees overzicht van het aantal entiteiten dat onder de NIS2 valt.
- Toezicht: Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht om de naleving van de richtlijn, inclusief de zorg- en meldplicht, te waarborgen. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder vallen.
Wanneer treedt NIS2 in werking
Op 16 januari 2023 trad de NIS2 in werking. Het is nog niet duidelijk wanneer de wetgeving daadwerkelijk geïmplementeerd wordt. In januari 2024 werd bekend dat de Nederlandse wetgever de termijn van half oktober niet gaat halen. Dat betekent waarschijnlijk dat NIS2 in 2024 nog niet omgezet gaat worden in een Nederlandse wet. Dit betekent niet automatisch dat de bepalingen van NIS2 niet gaan gelden vanaf 17 oktober 2024. Medio 2024 vindt de internetconsultatie plaats, naar verwachting duurt deze zes maanden. Lidstaten hebben tot het einde van die zes maanden de tijd om de bijbehorende maatregelen in hun nationale wetgeving te implementeren. Vanaf dat moment dienen organisaties die onder de NIS2-richtlijn vallen te voldoen aan de zorgplicht en meldplicht.