NIS2 - ook belangrijk voor u!

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

Op wie is NIS2 van toepassing?

Het is van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

De NIS2-richtlijn is van toepassing op de volgende sectoren:

  • Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
  • Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

De richtlijn is van toepassing op organisaties binnen deze sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van
EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

Organisaties waarop de NIS2-richtlijn van toepassing is worden minimaal als “belangrijke entiteit” aangemerkt. Echter, organisaties uit categorie 1 die minimaal 250 werknemers en/of
een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Essentiële entiteiten krijgen te
maken met strenger toezicht en handhaving dan belangrijke entiteiten.

Het is dus van belang zo vroeg mogelijk te bepalen of uw organisatie onder de NIS2-richtlijn zal vallen en of uw organisatie mogelijk als “essentiële entiteit” zal worden aangemerkt.

 

Wat zijn de belangrijkste onderwerpen?

Voor de organisaties die onder de NIS2-richtlijn vallen, legt de richtlijn risicobeheer- en rapportageverplichtingen op. Aangezien de richtlijn nog moet worden vertaald naar
nationale wetgeving, erkent het NCSC dat er op dit moment enige onduidelijkheid bestaat over de specifieke verplichtingen waarmee deze organisaties te maken krijgen. Op basis van analyse van de NIS2-richtlijn zou uw organisatie in ieder geval aandacht moeten besteden aan de volgende onderwerpen: risico-eigenaarschap, beveiligingsvereisten, beveiliging van de toeleveringsketen, en het melden van incidenten.

Onderwerp 1: risico-eigenaarschap

Onder NIS2 dient het bestuur een cruciale en actieve rol te hebben in het waarborgen van de naleving van de vereisten op het gebied van risicobeheersing. Volgens NIS2 dient het
bestuur risicobeheermaatregelen op het gebied van cyberbeveiliging goed te keuren en toezicht te houden op de implementatie ervan. De richtlijn geeft aan dat het bestuur van
essentiële entiteiten persoonlijk aansprakelijk gesteld kunnen worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Het bestuur dient verder
trainingen te volgen om voldoende kennis en vaardigheden op te doen om invulling aan hun verantwoordelijkheden te geven.

Onderwerp 2: beveiligingsvereisten

Artikel 21 van de NIS2 richtlijn bevat een lijst van maatregelen voor het beheer van cyberbeveiligingsrisico’s die essentiële en belangrijke entiteiten moeten treffen om hun
netwerk en informatiesystemen te beschermen. Een aantal van deze maatregelen zijn incidentbehandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken op het gebied van
cyberhygiëne en beleid en procedures inzake het gebruik van encryptie.

Onderwerp 3: beveiliging van de toeleveringsketen

Indien uw organisatie onder de NIS2 richtlijn valt, is de beveiliging van de toeleveringsketen één van de maatregelen voor het beheer van cyberbeveiligingsrisico’s, zoals hierboven
benoemd, om specifiek aandacht aan te besteden. Als onderdeel van deze maatregel, moet uw organisatie kijken naar beveiliging gerelateerde aspecten van de relaties met leveranciers en dienstverleners. Dit omvat, onder andere, de taak om kwetsbaarheden met betrekking tot de leveranciers en dienstverleners te identificeren. Een ander aspect om naar te kijken is de kwaliteit van de producten en cyberbeveiligingspraktijken, zoals veilige ontwikkelprocedures.

Onderwerp 4: het melden van incidenten

In het geval van een significant incident moeten essentiële en belangrijke entiteiten het Computer Security Information Response Team (CSIRT) van de overheid of de bevoegde
autoriteit binnen 24 uur een vroegtijdige waarschuwing geven en binnen 72 uur het incident melden. Bovendien moet de organisatie haar klanten informeren over incidenten die de
levering van de dienst nadelig kunnen beïnvloeden. Significante incidenten worden in de richtlijn gedefinieerd als incidenten die ernstige operationele verstoring van diensten of
financiële verliezen voor de organisatie veroorzaken, evenals aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft.

Toezicht en handhaving

De NIS2-richtlijn voorziet in zowel toezichts- als handhavingsmaatregelen. Essentiële entiteiten kunnen, onder andere, inspecties ter plaatse, toezicht buiten de locatie, en
beveiligingsscans, verwachten. Dit geldt ook voor belangrijke entiteiten, maar alleen als er bewijs, aanwijzingen of informatie is dat de belangrijke entiteit niet zou voldoen aan de
richtlijn. Handhavingsmaatregelen omvatten waarschuwingen, bindende instructies en administratieve boetes tot EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet van de
organisatie. Het bestuur van essentiële entiteiten kan ook te maken krijgen met persoonlijke aansprakelijkheid en een tijdelijk verbod om leidinggevende functies uit de oefenen.

Wat zijn de vervolgstappen?

Als uw organisatie onder de NIS2-richtlijn valt, is het van belang vroeg te beginnen met de voorbereidingen, omdat sommige van de hierboven genoemde onderwerpen tijd kosten om
te implementeren.

Bij de voorbereidingen op NIS2 moet uw organisatie rekening houden met andere EUrichtlijnen en -verordeningen. Denk hierbij aan de Directive on the Resilience of Critical
Entities (CER), Cyber Resilience Act (CRA), AI Act, en Digital Operational Resilience Act (DORA), die elkaar kunnen overlappen in verplichtingen. Zo kan het proces voor het melden van incidenten dat voor GDPR is ontwikkeld als basis gebruikt worden om te voldoen aan de eisen die NIS2 op dit gebied stelt. Door het tegelijkertijd aanpakken van meerdere EUrichtlijnen en -verordeningen of door voort te bouwen op reeds ontwikkelde processen in overeenstemming met andere EU-richtlijnen of -verordeningen, kunnen dubbele
inspanningen voorkomen worden.

Ondanks dat er nog enige onduidelijkheid is over de implementatie van NIS2 in de Nederlandse wetgeving, kunnen wij ondersteunen bij het identificeren van de nodige acties
om uw organisatie te helpen met het zetten van de eerste stappen. Onze aanpak bevat onder andere:

  • Een health check voor het creëren van een hoog-over overzicht van de voornaamste aandachtspunten van uw organisatie voor NIS2.
  • Een readiness assessment voor het identificeren van de volgende stappen en het opzetten van een roadmap voor uw organisatie.
  • De implementatie van security capabilities, waaronder incident response, third-party risk management en training.

Of neem direct contact op voor advies van één van onze specialisten


 

Uitgelichte topics