Eind 2022 heeft de Europese Unie de ‘Network and Information Security Directive’ (NIS 2-richtlijn) aangenomen met als doel de digitale en economische weerbaarheid van Europese lidstaten te versterken. Deze richtlijn is specifiek gericht op het adresseren van digitale (cyber) risico’s met betrekking tot netwerk- en informatiesystemen in vitale domeinen, zoals bijvoorbeeld het internet, gezondheidszorg, vitale infrastructuur en het betalingsverkeer. De NIS 2-richtlijn vervangt de oorspronkelijke NIS-richtlijn, ook wel bekend als de NIB in Nederland, die in 2016 werd opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Voor wie is de NIS 2-richtlijn bedoeld?
De NIS 2-richtlijn is bedoeld voor organisaties die door de Europese lidstaten worden aangemerkt als aanbieders van essentiële diensten. Deze essentiële diensten vinden we in sectoren die van vitaal belang zijn voor onze economie en samenleving en die sterk afhankelijk zijn van ICT, zoals energie, vervoer, water, bankieren, financiële-marktinfrastructuren, gezondheidszorg en digitale infrastructuur. Digitale dienstverleners die als belangrijk worden beschouwd, zoals zoekmachines, cloudcomputingdiensten en online marktplaatsen, dienen te voldoen aan de beveiligings- en meldingsverplichtingen zoals uiteengezet in de richtlijn. Belangrijk om te vermelden is dat de richtlijn niet alleen van toepassing is op de vitale organisaties zelf, maar ook op hun toeleveranciers.
Weet je niet zeker of de NIS 2-richtlijn voor jouw organisatie van toepassing is? De Rijksoverheid heeft een zelfevaluatie ontwikkeld om vast te stellen of de organisatie binnen de scope van de richtlijn valt: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/.
Wat wordt vanuit de nieuwe NIS 2-richtlijn van mij verwacht?
Vanuit de NIS 2 richtlijn worden een aantal verplichtingen beschreven waar organisaties aan moeten voldoen. Deze bestaan onder andere uit:
Toezicht
Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht. Dit omvat een beoordeling van de naleving van de richtlijn, met specifieke aandacht voor de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder toezicht vallen en welke toezichthouders daarbij betrokken zijn.
Zorgplicht
De NIS 2-richtlijn legt een zorgplicht op aan organisaties, waarbij ze verplicht zijn zelf een risicobeoordeling uit te voeren. Op basis van deze beoordeling moeten ze passende maatregelen nemen om hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.
Meldplicht
Binnen de NIS 2-richtlijn moeten organisaties incidenten binnen 24 uur melden bij de toezichthouder. Dit geldt met name voor incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren. Bij een cyberincident wordt bovendien melding vereist bij het Computer Security Incident Response Team (CSIRT), dat ondersteuning en bijstand kan bieden. Criteria voor meldingswaardige incidenten omvatten onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.
Registratieplicht
Organisaties die onder de NIS 2-richtlijn vallen, dienen zich te registreren. Deze registratie draagt bij aan een breed Europees overzicht van het aantal organisaties dat onder de NIS 2 valt.
Wanneer wordt NIS 2 van kracht?
Wat kan ik nu al doen om voor te bereiden op NIS 2?
Wat kan Newmorn’ voor jouw organisatie betekenen?
Jordi van Duyne
Ga je liever direct in gesprek met een deskundige op het gebied van NIS 2? Neem dan gerust contact op met Jordi van Duyne, Consultant bij Newmorn’.