NIS2 in één overzicht: wat je moet weten
Het doel van NIS2 is om het cybersecurityniveau bij essentiële en belangrijke organisaties en hun toeleveringsketens te verbeteren.
Bekijk de video versie van deze blog
NIS2 is een richtlijn die bedoeld is om de cybersecurity van grote en middelgrote organisaties te verbeteren. Deze richtlijn is van toepassing op zogenaamde essentiële en belangrijke sectoren.
In deze blog leggen we je uit wat je moet weten over NIS2.
Geschreven door: Jacco Wildeman
Bekijk hier ons webinar over NIS2
Grote organisaties en middelgrote organisaties
In NIS2 wordt onderscheid gemaakt tussen grote organisaties en middelgrote organisaties. Beide type organisaties moeten aan NIS2 voldoen wanneer ze onder een van de essentiële of belangrijke sectoren vallen.
-
-
- Grote organisaties hebben 250 medewerkers of meer, een netto-omzet van 10 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro.
- Middelgrote organisaties hebben minimaal 50 medewerkers en een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
-
Essentiële en belangrijke sectoren
De sectoren die onder de NIS2-richtlijn vallen, zijn verdeeld in essentiële en belangrijke sectoren.
-
-
- Essentiële sectoren zijn cruciaal voor de vitale infrastructuur van Nederland en mogen nooit uitvallen. Voorbeelden hiervan zijn centrale overheidsdiensten, energiebedrijven, waterbedrijven, ruimtevaart, en gezondheidszorg. In Nederland vallen ongeveer 1500 organisaties onder deze categorie.
- Belangrijke sectoren omvatten onder andere afvalstoffenbeheer, maakindustrie, en levensmiddelen. Deze sectoren zijn essentieel voor het welzijn van de samenleving en omvatten ongeveer 9000 organisaties in Nederland.
-
Zie het volledige overzicht op onderstaande afbeelding. Tekst gaat verder onder de afbeelding.
Hoe weet je of je onder NIS2 valt?
Er is geen officiële lijst om te controleren of jouw organisatie onder een van deze sectoren valt. De overheid gaat ook geen officiële lijst beschikbaar stellen. Je kunt wel gebruikmaken van de NIS2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl) om te bepalen of jouw organisatie onder de NIS2-richtlijn valt.
Maatregelen en verplichtingen
NIS2 brengt verschillende verplichtingen met zich mee voor de organisaties die eronder vallen.
-
-
- Opleidingen: Directie en bestuur moeten een opleiding volgen om cybersecurity beter te begrijpen en te kunnen managen. Dit is geen IT-feestje; het moet een onderwerp voor de board worden. Net zoals we BHV-oefeningen doen, moeten we ook regelmatig cybersecurity-oefeningen houden.
- Zorgplicht: Organisaties dienen een risico-inventarisatie uit te voeren en bijbehorende maatregelen te nemen om risico’s te beperken.
- Meldplicht: Organisaties moeten meldingen doen bij de toezichthouder, wanneer ze gehackt zijn of er een zwaar vermoeden van een hack bestaat.
- Toezicht: Er zullen in Nederland zeven toezichthoudende instanties zijn, die proactief en reactief toezicht houden. Essentiële organisaties worden jaarlijks proactief bezocht en gecontroleerd, terwijl belangrijke organisaties reactief worden gecontroleerd bij een incident.
-
Implementatie van NIS2
De richtlijn vanuit Europa had als doelstelling om op 17 oktober 2024 van kracht te worden. Veel landen hebben deze deadline gehaald, maar Nederland en enkele andere landen niet. De verwachting is dat Nederland ergens in 2025 met concrete stappen komt om de richtlijn te implementeren.
eBook: NIS2 en de impact op de keten
Conclusie
Het doel van NIS2 is om het cybersecurityniveau bij essentiële en belangrijke organisaties en hun toeleveringsketens te verbeteren. Cyberaanvallen richten zich steeds vaker op de toeleveringsketens van organisaties, waardoor een sterke focus op cybersecurity essentieel is. Organisaties moeten zich voorbereiden op de nieuwe verplichtingen en ervoor zorgen dat hun directie en bestuur goed op de hoogte zijn van wat te doen bij een cyberincident.
Binnenkort gaan wij in een blog dieper in op de verantwoordelijkheden van de toeleveringsketen als het gaat om NIS2.
Webinar
Deze blog is afkomstig uit het webinar NIS2 wat het betekent en hoe je actie onderneemt. Klik hier om de opname te bekijken of naar de slides en het Q&A document te gaan.