Vanaf dit najaar geldt de NIS2-richtlijn, die organisaties dwingt de cybersecurity goed op orde te hebben. Een groot aantal (IT)-organisaties zal zich hierop moeten voorbereiden en waar nodig maatregelen treffen. Maar welke eisen stelt de NIS2-richtlijn eigenlijk? We zetten de belangrijkste verplichtingen voor u op een rij.
Voor wie geldt de NIS2-richtlijn?
De NIS2-richtlijn (Network and Information Systems-richtlijn) is de opvolger van de NIS1-richtlijn. Het betreft een Europese richtlijn, die binnen de hele EU van kracht wordt.
De NIS2-richtlijn richt zich op het weerbaar maken van Europese organisaties tegen cyberrisico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.
De NIS2-richtlijn geldt zowel voor organisaties in sectoren die onder de NIS1-richtlijn vallen, als voor een groot aantal nieuwe sectoren. In onze blog ‘Valt uw organisatie onder de NIS2-richtlijn voor cybersecurity’ van vorige week bespraken we precies welke sectoren dit zijn.
Daarnaast deelden we een zelf-evaluatie tool van de Rijksinspectie Digitale Infrastructuur, waarmee u kunt vaststellen of uw organisatie onder de nieuwe NIS2-richtlijn valt.
De belangrijkste verplichtingen op een rij
De NIS2-richtlijn brengt 3 verschillende verplichtingen met zich mee: de zorgplicht, meldplicht en registratieplicht. Hieronder lichten we ze verder toe.
Zorgplicht
De NIS2-richtlijn verplicht organisaties om een risicobeoordeling op het gebied van cybersecurity uit te voeren. Op basis hiervan moet een organisatie passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren, om incidenten te voorkomen en de gevolgen van incidenten te beperken.
Goed om te weten:
in tegenstelling tot de AVG zijn de technische en organisatorische maatregelen in deze richtlijn gedetailleerder omschreven. Er is dus beter bekend wat er van organisaties verwacht wordt.
Een tijdrovende en mogelijk ook dure verplichting uit de NIS2-richtlijn is het monitoren van de systemen van een organisatie. Organisaties zijn verplicht het eigen netwerk en de systemen te monitoren.
Hierdoor kunnen zij tijdig verdachte gedragingen identificeren en vervolgens maatregelen treffen. Hiervoor kunnen ze bijvoorbeeld gebruikmaken van de loginformatie van proxy- en mailservers en werkstations.
Meldplicht
De meldplicht houdt in dat organisaties melding moeten maken bij de bevoegde autoriteit als ze getroffen zijn door een incident dat aanzienlijke gevolgen heeft voor hun dienstverlening. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Factoren die een rol spelen bij het wel of niet moeten melden van een incident zijn onder meer:
het aantal personen dat geraakt wordt;
de tijdsduur van de verstoring; en
de financiële impact.
Incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder.
Is er sprake van een cyberincident?
Dan moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Deze organisatie kan u dan hulp- en bijstand leveren.
Registratieplicht
Valt uw organisatie onder de NIS2-richtlijn?
Dan bent u verplicht zich te registreren. Hierdoor moet er een Europees breed beeld ontstaan van het aantal organisaties dat onder de NIS2-richtlijn valt.
Toezicht per sector geregeld
Organisaties die onder de NIS2-richtlijn vallen, komen onder toezicht te staan. Op dit moment wordt in Nederland nog uitgezocht welke toezichthouders per sector(en) worden aangewezen.
Let op!
In onze blog vorige week bespraken we het verschil tussen ‘essentiële’ en ‘belangrijke’ organisaties volgens de NIS2-richtlijn. Uitval van de dienstverlening van essentiële organisaties wordt als meer ontwrichtend beschouwd dan die van belangrijke organisaties.
Daarom komen organisaties die in de categorie essentieel vallen onder strenger toezicht te staan, waarbij zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor organisaties in de categorie belangrijk geldt een lichtere vorm van toezicht, dat alleen achteraf plaatsvindt als er bijvoorbeeld een incident heeft plaatsgevonden.
Hoge boetes bij niet-naleving
De richtlijn verplicht effectieve handhaving en vermeldt dat er waar nodig doeltreffende, evenredige en afschrikwekkende sancties worden opgelegd bij overtreding. Er kunnen boetes worden opgelegd die kunnen oplopen tot:
voor essentiële entiteiten: 10 miljoen of 2% van de wereldwijde jaaromzet.
voor belangrijke entiteiten: 7 miljoen of 1,4% van de wereldwijde jaaromzet.
Wat kunt u nu al doen om zich voor te bereiden op de NIS2-richtlijn?
Nederland heeft de NIS2-richtlijn nog niet opgenomen in de nationale wetgeving en moet dit uiterlijk 17 oktober 2024 gedaan hebben. Daarna treedt de wet in werking voor alle organisaties en moet u aan de NIS2-richtlijn voldoen.
Dat is al heel snel.
Het is dan ook verstandig om de Nederlandse wetgeving niet af te wachten, maar u nu al voor te bereiden op de komst van de NIS2-richtlijn door de Europese regels als leidraad te nemen.
Stel allereerst met behulp van de zelf-evaluatie tool vast of uw organisatie onder de NIS2-richtlijn valt.
Blijkt dat u (of uw klanten!) aan de verplichtingen van de NIS2-richtlijn moet voldoen?
Maak dan gebruik van het stappenplan van het Nationaal Cyber Security Centrum om uw organisatie voor te bereiden.
Op de hoogte blijven van deze en andere ontwikkelingen in ICT-recht?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.