Is NIS2 verplicht voor jouw organisatie?

Op 16 januari 2023 heeft de Europese Unie een nieuwe richtlijn opgesteld voor essentiële bedrijven; de NIS2-richtlijn. Daarmee is het de opvolger van de NIS-richtlijn. Vanaf 17 oktober 2024 moeten bedrijven zich aanpassen aan de nieuwe Europese standaard. Maar wat gaat er veranderen en is de NIS2 verplicht voor jouw organisatie? En wanneer val je in de categorie essentieel? Wij leggen het je uit.

Wat is NIS2?

De term NIS staat voor Network and Information Systems. De Europese Unie lanceerde in 2016 de NIS-richtlijn naar aanleiding van toegenomen bezorgdheid over cyberaanvallen.

De NIS2-richtlijn is sinds 16 januari 2023 vastgesteld door de Europese Unie en is bedoeld om de cyberbeveiliging te verbeteren en bij te dragen aan meer Europese overeenstemming. Deze opvolger breidt dus de omvang van de oorspronkelijke richtlijn uit door meer sectoren te omvatten. De richtlijn stelt strengere beveiligingsnormen en meldingsvereisten voor incidenten. Nederland heeft, net als andere EU-landen, tot 17 oktober 2024 de tijd om de nationale regels op de Europese standaard aan te passen.

Wat betekent de NIS2-richtlijn voor jouw organisatie?

De NIS2 richt zich op een aantal nieuwe sectoren, boven op de sectoren die al onder de NIS-richtlijn vallen. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties nu automatisch onder de NIS2-richtlijn vallen als ze actief zijn in specifieke sectoren en voldoen aan bepaalde criteria om als ‘essentiële’ of ‘belangrijke’ organisatie te worden gezien. Voorbeelden van sectoren die als ‘essentieel’ worden beschouwd zijn de energie, transport, drinkwater en ICT-sectoren. Voorbeelden van sectoren die als ‘belangrijk’ worden beschouwd zijn digitale aanbieders, afvalstoffenbeheer, levensmiddelensector en de onderzoeksector.

Om zelf na te gaan of je onder de NIS2-richtlijn valt, heeft de Rijksinspectie Digitale Infrastructuur (RDI) een vragenlijst opgesteld. Door de vragenlijst in te vullen, wordt ook duidelijk of je organisatie volgens de NIS2-richtlijn wordt beschouwd als ‘essentieel’ of ‘belangrijk’. Wil jij weten of je aan de NIS2-richtlijn moet voldoen? Vul dan deze vragenlijst in.

Welke verplichtingen heb je met de NIS2-richtlijn?

Als je als organisatie onder de NIS2-richtlijn valt, moet je aan een aantal plichten voldoen.

• Zorgplicht – de richtlijn legt een zorgplicht op je organisatie, waarbij je verplicht bent zelf een risicobeoordeling uit te voeren. Op basis daarvan moet je passende maatregelen nemen om je diensten zo goed mogelijk te beveiligen en de gebruikte informatie te beschermen.
• Meldplicht – de richtlijn stelt dat je als organisatie incidenten die de verlening van je essentiële diensten kunnen verstoren, binnen 24 uur bij de toezichthouder moet melden. Daarnaast is het verplicht om een cyberincident bij het Computer Security Incident Respons Team (CSIRT) te melden, waarbij dit team vervolgens hulp en bijstand kan bieden. Het melden van een incident is noodzakelijk bij een aantal factoren, bijvoorbeeld het aantal getroffen personen, de tijdsduur van de verstoring en de mogelijke financiële verliezen.
• Toezicht – als jouw organisatie onder de richtlijn valt, kom je onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijke toezichthouder de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht, zal controleren.

Hulp nodig bij cybersecurity?

Om helemaal te voldoen aan de NIS2-norm, is het belangrijk dat je je ICT-zaken goed op orde en beveiligd hebt. Wij helpen je graag bij het nemen van cybersecuritymaatregelen. Neem contact met ons op via 0547 – 273 363 of stuur een mail naar info@reggestad.nl.