NIS2: Alles wat je moet weten over de NIS2 richtlijnen

| Leestijd: 8 minuten
Laatst bewerkt: 25 oktober 2024

De afgelopen jaren heeft de Europese Unie (EU) gewerkt aan een reeks richtlijnen voor een veiliger digitale omgeving. Het belang van informatiebeveiliging komt naar voren met de komst van de NIS2 richtlijn. Met de NIS richtlijn wil de EU het minimale beveiligingsniveau van netwerk- en informatiesystemen verbeteren. Het niet naleven van de NIS2 richtlijn heeft juridische en strategische gevolgen voor organisaties. Er vinden meer aanvallen op kritische sectoren plaats of op de leveranciers van deze sectoren. Omdat beveiliging steeds meer net als de huidige markt een grensoverschrijdende aangelegenheid is moeten organisaties dus aan de slag!

Noah aan het werk voor de NIS2 richtlijn

Wat en voor wie is de NIS2?

NIS staat voor Netwerk- en Informatiesystemen en is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Op dit moment geldt de NIS 1, een richtlijn voor essentiële bedrijven, zoals water- en telecombedrijven. De opvolger, NIS2 verhoogt de cybersecurity-eisen door heel Europa en is voor meer sectoren van toepassing. Met deze richtlijn richt de EU zich niet alleen meer op grote organisaties. NIS2 heeft namelijk ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.

In de nieuwe richtlijn worden organisaties ingedeeld ‘Essentieel’ of ‘Belangrijk’. Voor beiden categorieën zijn er dezelfde eisen voor informatiebeveiliging van toepassing maar gelden er andere toezicht- en sanctieregelingen.

Het verschil in sectoren tussen NIS1 en NIS2

Met de vernieuwing van de NIS1 zijn er een aantal sectoren toegevoegd die moeten voldoen aan de richtlijnen die opgesteld zijn. Hieronder zie je de sectoren die moeten voldoen aan de richtlijnen van NIS1.

Overzicht sectoren NIS1

Met de ingangtreding van NIS2 worden er een aantal sectoren toegevoegd die moeten voldoen aan de nieuwe richtlijnen. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.

Overzicht van sectoren die erbij komen met NIS2. Dit zijn de volgende sectoren: afvalwater, ruimtevaart, afvalstoffen-beheerder, chemische stoffen, vervaardiging/manufacturing, overheidsdiensten, post- en koeriersdiensten, levensmiddelen, onderzoek en tot slot ICT Service Management.

Gevolgen van het niet naleven van de richtlijnen

Niet naleving van de NIS 2-richtlijn kan leiden tot boetes en andere strafrechtelijke sancties. Er zijn forse boetes mogelijk van maximaal 10 miljoen euro of 2% van de jaaromzet. Daarnaast kent de niet-naleving van de richtlijn ook strategische gevolgen voor jouw organisatie. Het implementeren van de richtlijn zorgt namelijk voor een betere bescherming van jouw dienst bij klanten en partners, het verbetert jouw digitale veiligheidspositie en daarmee ook de reputatie van jouw organisatie omdat cybersecurity serieus wordt genomen. Nog meer reden dus om cyberveiligheid op orde te hebben.

De gevolgen beschreven in de wettelijke artikelen

Hieronder staan kort de letterlijke wettelijke artikelen beschreven:

  • De lidstaten zorgen ervoor dat essentiële entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 10 000 000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.

  • De lidstaten zorgen ervoor dat belangrijke entiteiten die inbreuk maken op artikel 21 of 23 overeenkomstig de leden 2 en 3 van dit artikel onderworpen worden aan administratieve geldboeten met een maximumbedrag van ten minste 7 000 000 EUR of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is

Vanaf wanneer treed NIS2 in?

De NIS2 is op 16 januari 2023 in werking getreden en de lidstaten hebben nu 21 maanden, tot 17 oktober 2024, om de maatregelen ervan in nationaal recht om te zetten. De NIS2 gaat gelden naast sectorspecifieke wetgeving en daar zijn ook veel ontwikkelingen. De belangrijkste daarvan om hier te vermelden is de onlangs voorgestelde ‘DORA’-verordening inzake digitale operationele veerkracht voor de financiële sector.

3 tips voor het voldoen aan de NIS2 richtlijnen

  1. De voorgestelde aanpassingen in de NIS2 laten zien dat organisaties minimaal moeten voldoen aan de basismaatregelen die het Nationaal Cybersecurity Centrum heeft uitgezet.
  2. Om de impact van risico’s van o.a. incidenten te verminderen, is het van belang om al jouw klanten en leveranciers tegen het licht te houden. Stel jezelf de vraag of klanten kunnen worden aangemerkt als essentiële of belangrijke aanbieder onder de NIS2 en/ of worden leveranciers verplicht technische en organisatorische maatregelen te nemen die de beschikbaarheid van de diensten waarborgt.
  3. Elke organisatie kan in directe of indirecte zin te maken krijgen met informatiebeveiligingsincidenten, dus wees hier goed op voorbereid. Bereid jouw organisatie voor en oefen regelmatig! Meer info over oefenen vind je op onze security awareness pagina.

Status NIS2: 1-2-2023

In een brief aan de tweede kamer waarschuwt Minister van Justitie en Veiligheid Yesilgöz dat het omzetten van de NIS2 naar nationale wetgeving langer duurt dan verwacht. Hierom stelt ze dat de implementatie deadline niet gehaald gaat worden. Daarnaast wordt ook de CER-richtlijn, voor het beschermen van kritieke infrastructuur, niet op tijd gehaald. Dit zou oorspronkelijk 17 oktober van 2024 zijn. Dit betekent dus ook dat de implementatiewetten niet op de tot-nu-toe gecommuniceerde datum in werking zullen gaan treden of nageleefd hoeven te worden. 

Waarom duurt het zolang?

Een belangrijk aspect van de NIS2, tegenover de voormalige NIS, is de uitbreiding van sectoren. Er vallen veel meer bedrijven onder de NIS2 dan onder de NIS, waardoor toezicht en handhaving een grote uitdaging is geworden. Toezichthouders en autoriteiten van verschillende sectoren zijn flink aan het afstemmen hoe de communicatie tussen verschillende instanties kan worden ingericht. 

Dit grote samenwerkingsverband is tot nu toe nog ongekend, en brengt daarom een groot vraagteken met zich mee.

Wat kan een organisatie doen ter voorbereiding?

Er wordt geleidelijk materiaal uitgebracht om organisaties een stuk op weg te helpen. Zo heeft het Nationaal Cyber Security Centrum (NCSC) een flowchart uitgebracht waarin een organisatie kan vaststellen of ze zichzelf moeten registeren onder de NIS2.

Registeren zal uiteindelijk kunnen via MijnNCSC (https://www.ncsc.nl/over-ncsc/mijn-ncsc). Organisaties zullen middels eHerkenning hun organisaties kunnen registeren, incidenten melden en zien welke toezichthouder en autoriteit voor hun sector geldt. 

En nu?

Wel wordt er gesteld dat het traject richting de consultatie van de conceptwetsvoorstellen bevindt zich in een afrondende fase. De conceptwetgeving zal naar verwachting voor de zomer van 2024 in consultatie worden gebracht.

Status NIS2: 21-05-2024

Op 21 mei 2024 is de internetconsultatie van de NIS2 (nu ook wel: Cyberbeveiligingswet) en de Wet weerbaarheid kritieke entiteiten van start gegaan. De consultatieperiode loopt tot 2 juli 2024. Het doel van de consultatie is een zo groot mogelijke groep van burgers, bedrijven en instellingen betrekken bij de totstandkoming van de Nederlandse wetgeving.

Na afloop van de consultatieperiode worden alle reacties beoordeeld en wordt eventueel het wetsvoorstel aangepast. Via www.internetconsultatie.nl kan iedereen suggesties doen voor verbetering van de wet- en regelgeving.

Wat zijn de highlights die bedrijven alvast moeten weten

De wet legt vooral de verantwoordelijkheden en rollen van de toezichthouders en autoriteiten vast. Alle sectoren beschikken nu over een bevoegde autoriteit. Hierbij een overzicht van alle sectoren en de bevoegde autoriteit:

Overzicht NIS2 sectoren en de bevoegde autoriteiten.
Overzicht NIS2 sectoren

Huidige status NIS2: 28-06-2024

Zoals gedeeld in de vorige update is op 21 mei 2024 de internetconsultatie van de NIS 2 (nu ook wel: Cyberbeveiligingswet) en de Wet weerbaarheid kritieke entiteiten van start gegaan. De consultatieperiode loopt tot 2 juli 2024. Meerdere bedrijven, belangenorganisaties en vakbonden hebben een reactie gestuurd op basis van de gepubliceerde wetteksten.

Er komen veel verschillende elementen overeen binnen de verschillende reacties. Er wordt een kritische blik geworpen aan de formulering van bepaalde wetteksten, en de mogelijke gevolgen die bepaalde handhaving met zich meebrengt (zoals de Zorgplicht), met daarbij het verzoek om in 2025 niet direct over te gaan op handhaving, maar eerst op lerend vermogen.

Waar liggen de zorgpunten?

  • Organisaties pleiten voor een periode na inwerkingtreding van de wet waarin boetes en sancties niet direct afgegeven worden, maar eerst op lerend vermogen zal worden getoetst.  Dit gebeurt vaak al in het geval van een nieuwe wetgeving, omdat er ook nog geen jurisprudentie bestaat om bepaalde afwegingen te maken. De kans dat je dus de eerste week na intreding van de wet al een boete krijgt is laag. 
  • Door de uitbreiding van de eisen en sectoren van de NIS 2 komen steeds meer elementen van de samenleving in scope van informatiebeveiliging. Dit is over het algemeen een positieve ontwikkeling. Echter lopen organisaties hierbij het risico dat er meer in scope komt dan wenselijk voor een effectief en functioneel proces/beleid, waardoor de zicht en focus verloren kan gaan.  Hierbij dan ook het advies om vooral risico-gericht te werk te gaan. Het dichttimmeren van een organisatie is natuurlijk niet wenselijk, en daar oogt de NIS 2 niet per sé naar. Er wordt vooral gevraagd naar een proportioneel niveau van beveiliging. 
  • Er zijn de afgelopen jaren vele nieuwe soorten wetgevingen geïntroduceerd in het belang van privacy, informatiebeveiliging, het waarborgen van beveiliging binnen applicaties en software, het afbakenen van fysieke beveiliging etc. Organisaties vrezen hier dat er teveel sprake zal zijn van gelijkenissen tussen verschillende sectoren, wetseisen en toezichthouders. Dit zou kunnen leiden tot dubbele handhaving en/of toezicht. De makers van de Europese wetgevingen hebben gedeeld dat zij bewust zijn van de vele soorten wetgevingen die er recent bij zijn gekomen, of aan gaan komen. Een belangrijk doel bij het succesvol opstellen van deze wetgevingen was dan ook ‘’Harmonisatie”. Uiteindelijk zal er zoveel mogelijk rekening gehouden worden met het soort toezicht dat toegepast gaat worden, en de overeenkomsten (en verschillen!) tussen de wetgevingen.

Geschreven door: Marloes de Bruin

Meer informatie over NIS2?

  • Ga het gesprek aan met een Security specialist van Surelock
  • Voldoe aan de eisen anno 2024
  • Surelock is ISO27001 gecertificeerd en lid van Cyberveilig Nederland
 
Delen: NIS2: Alles wat je moet weten over de NIS2 richtlijnen

Door

- Marloes de Bruin
Information Security Consultant
Marloes de Bruin

Veel gestelde vragen

Wat is NIS2?

NIS staat voor Network and Information Systems en is de eerste EU-wetgeving op het gebied van cybersecurity. Op dit moment is er NIS 1. De volgende versie NIS2 verhoogt de cyberbeveiligingseisen in heel Europa en is van toepassing op meer sectoren. De richtlijn richt zich niet alleen op grote organisaties, maar treft ook MKB bedrijven die essentiële diensten leveren.

Wie valt onder NIS2?

De oorspronkelijke NIS (1) bestreken sectoren als energie, drinkwater en het bankwezen. NIS2 breidt de lijst met belangrijke sectoren mooi uit, waaronder overheidsdiensten, food en managed service providers

Waarom NIS2?

NIS2 is een verhoging van de Cybersecurity eisen in Europa en zorgt ervoor dat niet alleen meer de essentiële bedrijven zoals energie, drinkwater en het bankwezen moeten voldoen aan richtlijnen. Ook moeten met de NIS2 overige essentiële bedrijven aan deze richtlijn voldoen. Dit zorgt voor een betere totale cyberbeveiliging.