NIS2-Richtlijn

Als je het over de NIS2-richtlijn hebt, heb je het over wettelijke cybersecurity maatregelen voor bedrijven. NIS staat namelijk voor Netwerk en Informatie Systemen.

Wetboeken

Op dit moment hebben we de NIS-Richtlijn, die in Nederland is omgezet in de Wet beveiliging netwerk- en informatiesystemen (Wbni) in 2018. Deze NIS regelt een aantal minimum beveiligingseisen voor bedrijven die essentiële diensten leveren. Denk maar aan elektriciteit, water of telecom. Die regels gelden sinds 2018, en met de snelle digitalisering zijn deze regels verouderd.

In 2023 zal daarom de NIS2-Richtlijn van kracht worden. De NIS2-Richtlijn heeft dezelfde gedachte: cybersecurity verbeteren in het bedrijfsleven. De toepassing wordt echter breder en de inhoudelijke eisen zijn aangescherpt.

Wat is er nieuw in de NIS2-Richtlijn?

De opvallendste aanscherping in de NIS2-Richtlijn is de boetebepaling. Vanaf de nieuwe wetgeving, kunnen autoriteiten, net als bij privacy overtredingen, boetes uitdelen. En dat tot wel 10 miljoen of 2% van de wereldwijde jaaromzet.

Daar komt nog eens bij dat de toepassing van de wet behoorlijk is verbreed. De KvK meldt dat dit betekent dat 160.000 bedrijven de wet moeten gaan implementeren. Dit geldt dus óók voor het MKB.

Voor wie geldt NIS2-Richtlijn dan?

Vanaf 2023 geldt de NIS2-Richtlijn voor alle bedrijven die essentiële diensten leveren. Wie of wat dat precies zijn, dat moet nog duidelijk worden uit de onderhandelingen. Daarnaast geldt dat per lidstaat hier nadere invulling aan mag worden gegeven. Pas als Nederland de wetgeving heeft omgezet, is echt duidelijk voor wie welke regels precies gelden.

Maar in elk geval kunnen afvalverwerkingsbedrijven, voedselverwerkingsbedrijven, post- en koeriersservices kunnen alvast klaar gaan staan.

De NIS2-Richtlijn maakt daarbij overigens onderscheid tussen “essentiële” en “belangrijke” diensten. Voor belangrijke diensten gelden dan andere of minder zware toezichtsregels.

Wanneer treedt de regelgeving in werking?

Zodra het akkoord definitief is goedgekeurd (de Europese partijen zijn nog aan het overleggen), moeten de lidstaten de richtlijnen binnen 18 maanden in hun nationale wetgeving omzetten. Vanaf het moment dat de inhoud van de Richtlijn vaststaat, hebben organisaties dus nog 1,5 jaar om zich voor te bereiden.

Hoe moet je de NIS2 regels implementeren?

De NIS2-Richtlijn kent net als verschillende baselines en ISO normeringen een risicogebaseerde aanpak. Op basis van geïdentificeerde risico’s, neem je maatregelen. En zul je bijvoorbeeld een incidentmanagementproces op touw zetten.

Het implementeren kan middels bijvoorbeeld het implementeren van een ISO 27001 of NEN 7510 certificaat. Daar kan partnerorganisatie BMGRIP je bijvoorbeeld goed bij helpen.

Vragen over dit blog? Ideeën of opmerkingen?

"*" geeft vereiste velden aan

Laat ons weten wat je bezighoudt. Heb je een vraag voor ons? Stel hem gerust.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.