Door alle berichten in de media kun je het bijna niet missen: de Nederlandse NIS2-wetgeving komt eraan. Eind 2024 moet de aangescherpte versie van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) in werking treden. Geldt de NIS2 ook voor jouw organisatie? En hoe bereid je je op tijd voor?
23 februari 2024 | Blog
IT-security: is jouw organisatie klaar voor NIS2?
Als team staan we naast je
En helpen we je vooruitDe NIS2-securityrichtlijn in het kort
De Network and Security Directive (NIS2) is de opvolger van de Europese NIS-richtlijn bedoeld om de cyberveiligheid en weerbaarheid van essentiële diensten in de EU-lidstaten te verbeteren. In Nederland werden deze richtlijnen in 2016 opgenomen in de Wbni.
De NIS2 draagt bij aan een hoger niveau van cybersecurity en vermindert zo de risico’s die essentiële netwerk- en informatiesystemen bedreigen. De nieuwe richtlijn met aangescherpte verplichtingen en strengere handhaving geldt voor een grotere groep organisaties. Op dit moment werken alle EU-lidstaten aan de vertaling van de NIS2 naar nationale wetgeving, die in oktober 2024 in werking moet treden. Nederland kondigde onlangs aan deze deadline niet te gaan halen.
De gevolgen voor jouw organisatie
1. NIS2 geldt voor meer organisaties
Naast ‘essentiële entiteiten’ – organisaties waarbij uitval een ontwrichtend effect heeft op de samenleving - vallen voortaan ook ‘belangrijke entiteiten’ onder de NIS2. Dit zijn organisaties waarvan de dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. Let op: heb je een micro- of klein organisatie dat ICT-diensten levert aan organisaties die onder de NIS2 vallen? Dan kan het zijn dat de NIS2-wetgeving ook voor jou gaat gelden.
2. Strengere verplichtingen
Voor alle organisaties die onder de NIS2 vallen gelden de volgende plichten:
• Registratieplicht: alle organisaties die onder de NIS2 vallen, moeten zich registreren zodat er één Europees overzicht ontstaat.
• Zorgplicht: val je onder de NIS2, dan moet je zelf een risicoanalyse uitvoeren en passende maatregelen nemen om je IT-systemen te beschermen en je diensten veilig te leveren. Bij deze analyse moet je ook je toeleveranciers in kaart brengen.
• Meldplicht: incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder. Betreft het een cyberincident? Dan moet ook het Computer Security Incident Response Team (CSIRT) op de hoogte worden gesteld.
3. Toezicht en handhaving aangescherpt
Voor elke sector waar de NIS2 van toepassing is, wordt een toezichthouder aangesteld. Deze toezichthouders gaan ook proactief handhaven, onder meer door steekproefsgewijs en onaangekondigd organisaties te controleren.
Hulp nodig bij de voorbereidingen voor NIS2?
Ook al zijn nog niet alle details van de nieuwe NIS2-wetgeving bekend, het is belangrijk om nu al met de voorbereidingen te beginnen. Bijvoorbeeld door uit te zoeken of de NIS2 ook voor jouw organisatie geldt. Bij Venéco helpen we je graag met advies en ondersteuning om jouw IT-security aan te passen op de NIS2. We volgen de ontwikkelingen op de voet en beschikken daardoor altijd over de meest actuele kennis en informatie.