De NIS2-richtlijn introduceert uitgebreide nalevingsmaatregelen om de cybersecurity en veerkracht van essenti\u00eble diensten binnen de EU te verbeteren. Deze NIS2-nalevingsmaatregelen zijn cruciaal voor organisaties om zich aan te passen aan de toenemende cyberdreigingen. Het vervangt de oorspronkelijke NIS-richtlijn en breidt de reikwijdte uit door meer sectoren onder strikte beveiligings- en rapportagestandaarden te plaatsen. De richtlijn is een reactie op toenemende wereldwijde dreigingen, zoals pandemie\u00ebn, geopolitieke conflicten en klimaatverandering, en benadrukt de noodzaak van een geharmoniseerde aanpak voor cybersecurity in Europa.<\/p>\n
In Nederland is de richtlijn ge\u00efmplementeerd in de Wet op de Cybersecurity (Cbw), die nieuwe verplichtingen introduceert, zoals registratie, zorgplicht en meldplicht. Organisaties moeten zich voorbereiden, aangezien de richtlijn op 17 oktober 2024 in werking treedt. Het niet naleven kan leiden tot zware boetes en andere sancties, waarbij belangrijke entiteiten proactief worden gemonitord. De implementatie vereist een strategische aanpak, waarbij organisaties hun cybersecuritymaatregelen moeten evalueren en versterken.<\/p>\n
De NIS2-richtlijn<\/a>, aangenomen door de Europese Unie, is een bijgewerkte en uitgebreide versie van de oorspronkelijke NIS-richtlijn, die tot doel heeft de cyberveiligheid en veerkracht van essenti\u00eble diensten in EU-lidstaten te verbeteren. De NIS2-compliancemaatregelen omvatten verplichtingen zoals registratie, zorgplicht en het melden van incidenten om de cyberbeveiliging van organisaties te versterken. Deze richtlijn breidt het toepassingsgebied uit door meer sectoren op te nemen en stelt strengere normen vast voor beveiliging en rapportage van incidenten. De richtlijn wordt momenteel omgezet in Nederlandse wetgeving<\/a>.<\/p>\n De reden voor de NIS2-richtlijn ligt in recente wereldwijde ontwikkelingen, zoals de covid-19-pandemie, de oorlog in Oekra\u00efne, toenemende cyberdreigingen en de impact van klimaatverandering, die druk uitoefenen op de veiligheid van de samenleving en de economie. De richtlijn heeft als doel de digitale en economische veerkracht van de EU-lidstaten te versterken als reactie op deze uitdagingen.<\/p>\n De NIS2-richtlijn richt zich op het verminderen van risico’s die netwerken en informatiesystemen bedreigen, met name op het gebied van cybersecurity. Dit draagt bij aan meer Europese harmonisatie en een hoger niveau van cybersecurity voor bedrijven en organisaties in de EU. De richtlijn vervangt de eerste NIS-richtlijn, die in Nederland in 2016 werd opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). In Nederland wordt de NIS2-richtlijn vertaald naar de Wet Cybersecurity (Cbw), die de Wbni vervangt.<\/p>\n A\u00a0een aantal verplichtingen (Nederlands)\u00a0zijn ingevoerd binnen NIS2- en CER-richtlijnen. Organisaties die onder de NIS2-richtlijn vallen, moeten zich registreren in een entiteitenregister. Dit register, dat wordt beheerd door het National Cybersecurity Centre (NCSC), biedt een Europees overzicht van alle entiteiten die onder de richtlijn vallen.<\/p>\n De NIS2-richtlijn introduceert een zorgplicht die organisaties verplicht om risicoanalyses uit te voeren en passende maatregelen te nemen om hun diensten en systemen te beschermen op basis van deze analyses. Bestuursleden van deze organisaties moeten deze maatregelen goedkeuren en de uitvoering ervan toezien, waarvoor zij ook training moeten volgen.<\/p>\n Daarnaast stelt de NIS2-richtlijn een meldplicht in, die organisaties verplicht om incidenten die de continu\u00efteit van essenti\u00eble diensten kunnen verstoren, binnen 24 uur aan een toezichthouder te melden. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat ondersteuning kan bieden. Er komt een centraal meldpunt voor meldingen via het NCSC.<\/p>\n Ten slotte zullen organisaties die onder de NIS2-richtlijn vallen, worden gemonitord. Dit houdt in dat hun naleving van verplichtingen, zoals de zorgplicht en meldplicht, wordt gecontroleerd. Momenteel wordt bepaald welke sectoren onder welke specifieke toezichthouders vallen.<\/p>\n Wat zijn zeer kritieke sectoren, andere kritieke sectoren, grote organisaties, middelgrote organisaties, essenti\u00eble entiteiten, belangrijke entiteiten en wat zijn de uitzonderingen op de regel? Dat leggen we hier uit. Om direct zelf te controleren of je organisatie onder NIS2 valt en in welke categorie, kun je gebruik maken van de\u00a0Zelfevaluatietool NIS2 van de centrale overheid (Nederlands)<\/a>. Als je visueel ingesteld bent,\u00a0download<\/a> hier de infosheet van de overheid<\/a> (\u00a0)<\/a> over verplichte registratie met stroomdiagram om te bepalen of jouw organisatie hieraan moet voldoen. De volgende afbeelding komt uit de\u00a0Infosheet Cyber Security Act (Nederlands)\u00a0en geeft een mooie visuele presentatie van wat hieronder wordt besproken.<\/p>\n Overzicht van sectoren, entiteiten en criteria.\u00a0 BRON(Nederlands)<\/p>\n Om te bepalen of een organisatie onder de NIS2-richtlijn valt, moet de overheid eerst\u00a0gebruikt een onderscheid (Nederlands)\u00a0tussen zeer kritieke sectoren en andere kritieke sectoren. Vervolgens wordt, afhankelijk van de grootte van de organisatie, bepaald of een organisatie onder essenti\u00eble entiteit of belangrijke entiteit valt.<\/p>\n Hoogkritische sectoren: Bijlage 1 bestaat uit de volgende sectoren:<\/p>\n Andere kritische sectoren: Bijlage 2 bestaat uit de volgende sectoren:<\/p>\n Valt jouw organisatie onder een hoogkritische of andere kritische sector? Dan moet je mogelijk voldoen aan de NIS2-richtlijn. Afhankelijk van de grootte van de organisatie bepaal je definitief of dit het geval is, hoewel er uitzonderingen kunnen zijn.<\/p>\n Op basis van de grootte van de organisatie wordt bepaald of de organisatie essentieel of belangrijk is. Hoewel nog niet alles is bepaald, is het grote verschil dat essenti\u00eble organisaties onder actieve toezicht zullen staan en belangrijke entiteiten onder achteraf toezicht, indien nodig. Hoe dan ook, dat betekent dat je aan de slag moet gaan als je onder de NIS2-richtlijn valt.<\/p>\n Grote organisaties hebben: 1) ten minste 250 werknemers in dienst OF 2) een jaarlijkse omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.<\/p>\n Een middelgroot bedrijf heeft: 1) ten minste 50 werknemers in dienst OF 2) een jaarlijkse omzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro.<\/p>\n Hieronder worden de sectoren gebruikt om te bepalen of een organisatie essentieel of belangrijk is. Er zijn enkele uitzonderingen op de bovenstaande regels. De volgende organisaties vallen altijd onder de Cybersecuritywet: de overheidssector, aanbieders van vertrouwensdiensten, top-level domeinnaamregisters, DNS-dienstenaanbieders, aanbieders van domeinnaamregistratiediensten en aanbieders van openbare elektronische communicatie netwerken en diensten. Daarnaast kan een lijnminister nog steeds een kleiner bedrijf aanwijzen dat onder de Cybersecuritywet valt.<\/p>\n Grote organisaties uit een sector die in Bijlage 1 (hoogkritische sectoren) staat, zijn essenti\u00eble entiteiten. De eerder genoemde uitzonderingen, zoals de overheid, vallen altijd onder essenti\u00eble entiteiten. Organisaties die onder de CER-richtlijn als ‘kritische entiteit’ vallen, zijn ook essenti\u00eble entiteiten.<\/p>\n De overige organisaties worden geclassificeerd als belangrijke organisaties. Dit betreft middelgrote organisaties die vallen onder een Bijlage 1-sector (hoogkritisch), en grote en middelgrote bedrijven die vallen onder een Bijlage 2-sector (andere kritische sectoren).<\/p>\n De NIS2-richtlijn is eind 2022 door de Europese Unie aangenomen. De EU heeft 17 oktober 2024 als deadline gesteld voor alle lidstaten. Sommige lidstaten, zoals Duitsland, zeggen dat ze deze datum zullen halen. De Nederlandse regering heeft in januari echter al aangegeven dat ze deze deadline niet gaat halen. D. Yesilg\u00f6z-Zegerius, minister van Justitie en Veiligheid, schreef in\u00a0een brief aan de Kamer: “Ik streef ernaar de wetsvoorstellen vervolgens in de herfst van dit jaar aan uw Kamer aan te bieden.”<\/p>\n Het feit dat de regering de deadline niet zal halen, betekent echter niet dat jouw organisatie zich niet moet voorbereiden. De Minister heeft ook aangegeven dat vroege voorbereiding cruciaal is, gezien het enorme tekort aan cybersecurityspecialisten. Er is hier nog een extreem belangrijk punt om te overwegen, namelijk dat organisaties in andere lidstaten die al compliant zijn, al kunnen eisen dat NIS2 wordt nageleefd. Belgi\u00eb en Duitsland zullen waarschijnlijk de deadline halen en dit zijn juist de belangrijkste exportlanden voor Nederland.<\/p>\n Kortom, houd vast aan de deadline van 17 oktober! Op het moment van schrijven heeft jouw organisatie dus nog maar twee maanden om volledig te voldoen aan alle eisen van de NIS2-richtlijn. Geen reden om je zorgen te maken, maar het is essentieel om gisteren al te beginnen. Wij helpen je graag daarbij, samen met ons netwerk van partners.<\/p>\n Naast mogelijk verloren zakendoen, kun je ook aanzienlijke boetes krijgen als je niet voldoet. Voor essenti\u00eble entiteiten zal dit waarschijnlijk snel aan het licht komen, aangezien er vooraf controles zijn. Voor belangrijke entiteiten komt dit vaak pas achteraf aan het licht, wat misschien nog veel erger is, aangezien er al een cybersecurity-incident heeft plaatsgevonden dat een audit veroorzaakt. Organisaties die niet voldoen aan de NIS2-nalevingsmaatregelen riskeren aanzienlijke boetes en operationele risico’s.<\/p>\n Naast het feit dat cyberbeveiliging of -orde op orde moet zijn vanuit het oogpunt van verantwoordelijkheid, kan een organisatie ook hoge boetes tegemoet zien.\u00a0Hoofdstuk VII, artikel 34 van de NIS2-richtlijn<\/a>\u00a0noemt boetes:<\/p>\n en<\/p>\n Daarnaast worden hieronder soms vergaande handhavingsmiddelen beschreven die de toezichthouder kan gebruiken als de wetgeving niet wordt nageleefd.<\/p>\n Bovenstaand hebben we al kort de vier verplichtingen genoemd die door de Cybersecuritywet zijn voorgeschreven: Registratieplicht, Meldplicht, Toezicht en de belangrijkste: Zorgplicht.<\/p>\n Bepaal aan de hand van bovenstaande informatie of uw organisatie onder de Cybersecurity Act valt. De regering\u00a0\u00a0kan hier ook bij helpen<\/a>. Het National CyberSecurity Centre (NCSC) werkt momenteel aan een online registratiesysteem waar organisaties zich kunnen registreren als NIS2-entiteiten. Dit geeft ook een Europees overzicht van NIS2-entiteiten.<\/p>\n Er wordt ook een centraal meldpunt opgezet door het NCSC voor meldingen. Dit stelt organisaties in staat om incidenten eenvoudig te melden bij zowel de toezichthouder als het Computer Security Incident Response Team (CSIRT), dat organisaties ondersteunt en advies geeft in geval van een incident.<\/p>\n Significante incidenten moeten binnen 24 uur worden gemeld. Een incident is,\u00a0volgens de Cybersecurity Act, significant als het:<\/p>\n Rapportageproces.\u00a0 BRON(Nederlands)<\/p>\n Essenti\u00eble entiteiten staan onder proactief toezicht, dat wil zeggen zelfs wanneer er geen incidenten zijn. Voor belangrijke entiteiten vindt dit toezicht achteraf plaats, na een incident. De middelen die toezichthouders kunnen gebruiken voor belangrijke entiteiten zijn: controleur, beveiligingsscan, beveiligingsaudit, melding van inbreuken, bindende instructie, opdracht onder administratieve regeling, verzoek om opschorting van certificering of vergunning, verzoek om opschorting van bestuursleden en een administratieve boete.<\/p>\n Belangrijke entiteiten kunnen een beveiligingsscan, beveiligingsaudit, melding van inbreuk, bindende aanwijzing, opdracht onder administratieve regeling en een administratieve boete krijgen.<\/p>\n Het laatste is het belangrijkste criterium, namelijk zorgplicht. Dit is waar je met je organisatie aan moet werken. Dit is het absolute minimum dat moet worden geregeld. Daarnaast kunnen er aanvullende standaarden en kaders zijn voor specifieke sectoren, zoals de gezondheidszorg of de overheid. vBoxx loopt graag met je mee om te ontdekken wat er specifiek moet gebeuren. Je ontvangt dit achteraf van ons in een rapport. U kunt\u00a0Vraag onze gratis NIS2-scan<\/a>\u00a0bij ons aan<\/a> en maak vervolgens gebruik van ons grote netwerk van partners om hulp te krijgen bij het voldoen aan elke maatregel.<\/p>\n Veel nuttige informatie en gedetailleerde beschrijvingen en stappen van deze maatregelen zijn ook te vinden op de\u00a0website van het Digital Trust Center (Nederlands)<\/a>\u00a0van het Ministerie van Economische Zaken en Klimaat. De onderstaande informatie over maatregelen komt ook grotendeels van deze website.<\/p>\n Er zijn veel aspecten betrokken bij het naleven van de nieuwe Cybersecuritywet. Veel van de basale systemen kunnen worden aangenomen en geleverd door vBoxx. Denk aan cloudopslag, e-mail, agenda’s, videogesprekken, wachtwoordbeheer, servers, back-ups en meer. Samen met ons netwerk van partners kunnen veel maatregelen worden gerealiseerd.<\/p>\n Onze partner\u00a0 GartSolutions<\/a>\u00a0is een IT-partner die gespecialiseerd is in het veilig en veerkrachtig opzetten van infrastructuur, cloudmigratie, DevOPS, IT-consultancy en andere oplossingen voor NIS2-compliance.<\/p>\n Voor complexe systemen en vraagstukken staan zij klaar om hun 15 jaar ervaring met je te delen. In combinatie met de diensten en infrastructuur van vBoxx zorgt dit voor een waterdichte oplossing voor de belangrijkste onderdelen van jouw organisatie!<\/p>\n Laat ons meedenken en plan de NIS2-scan hieronder. Op die manier kunnen we samen kijken naar geschikte oplossingen en welke partners kunnen helpen. Helemaal gratis en zonder verplichtingen, natuurlijk!<\/p>\n Ook\u00a0bekijk ons webinar<\/a>\u00a0dat we hebben gegeven over NIS2 en in het bijzonder over maatregel 7: Veiligheid van de toeleveringsketen. Of\u00a0lees de blogpost<\/a>\u00a0over maatregel 7.<\/strong><\/p>\nOp wie is de NIS2-richtlijn van toepassing?<\/h2>\n
(Hoog)kritische sectoren<\/h3>\n
\n
\n
Valt jouw organisatie onder NIS2?<\/h3>\n
Wat is een middelgroot en groot bedrijf?<\/h4>\n
Essentieel of Belangrijk?<\/h4>\n
Wanneer treedt de Cybersecuritywet in werking?<\/h2>\n
Gevolgen van het niet naleven<\/h2>\n
\n
\n
Concreet stappen richting naleving<\/h2>\n
Registratieplicht<\/h3>\n
Meldplicht<\/h3>\n
Wanneer te melden?<\/h4>\n
\n
Meldproces<\/h4>\n
\n
Toezicht<\/h3>\n
Zorgplicht<\/h3>\n
Jouw volgende stappen<\/h2>\n
Probeer onze cloudoplossing vBoxxCloud 2 weken gratis!<\/h5>\n