NIS2 komt eraan: is jouw organisatie al voorbereid?

NIS2 komt eraan: is jouw organisatie al voorbereid? | Value Added IoT distributie | MCS

| Caroline Stolk

NIS2 is de nieuwe Europese richtlijn die is bedoeld om de digitale weerbaarheid van kritieke sectoren zoals de zorg en overheid te versterken.

Met strengere regels, hogere boetes en meer verantwoordelijkheid voor bestuurders is de impact groot. Voor bedrijven én de hele toeleveringsketen.

Maar wat houdt NIS2 precies in? Voor wie geldt de wet? En hoe voorkom je sancties? In deze blog geven we antwoord op veelgestelde vragen over deze Europese richtlijn.

1: Wat is NIS2?

NIS2 staat voor Network and Information Security Directive 2. Het is de opvolger van de eerdere NIS-richtlijn uit 2016. De norm is een Europese richtlijn die organisaties verplicht om hun cyberveiligheid en digitale weerbaarheid te verbeteren. Denk bijvoorbeeld aan het melden van incidenten, het uitvoeren van risicoanalyses en het beveiligen van netwerk- en informatiesystemen.

mcs

2: Waarom is NIS2 nodig?

NIS2 is ingesteld om het risico op cyberaanvallen te verkleinen. Cyberaanvallen worden namelijk steeds geavanceerder, grootschaliger en schadelijker. Een succesvolle hack heeft niet alleen impact op één organisatie. Het kan ook grote gevolgen hebben voor onze hele samenleving.

Beveiliging vitale sectoren verbeterd door samenwerking

De EU wil met deze uniforme wetgeving de beveiliging van vitale sectoren verbeteren. Als er incidenten zijn, kunnen landen zo sneller samenwerken. Ook worden organisaties gestimuleerd om hun digitale basis beter op orde te brengen. Bovendien dwingt NIS2 om na te denken over waar kwetsbaarheden binnen een bedrijf én in de toeleveringsketen zitten.

mcs

3: Voor welke sectoren geldt NIS2?

De Europese richtlijn geldt voor de bescherming van vitale en belangrijke sectoren. Denk bijvoorbeeld aan:

Vitale sectoren:

  • Energie
  • Drinkwatervoorziening
  • Digitale infrastructuur
  • Zorginstellingen
  • Vervoer
  • Overheidsdiensten

Belangrijke sectoren:

  • Voedselproductie
  • Chemische industrie
  • Post- en koeriersdiensten
  • Afvalbeheer
  • Digitale dienstverleners
  • Industrie en machinebouw

Geldt dit dan voor íeder bedrijf in deze sector, zelfs de ZZP’ers? Nee. Alleen organisaties in deze sectoren met meer dan 50 werknemers of meer dan € 10 miljoen omzet vallen onder NIS2.

mcs

4: Hoe word je NIS2-compliant?

Om NIS2-compliant te zijn, moet je als organisatie voldoen aan onder andere de volgende belangrijke verplichtingen. Voorbeelden voor compliance zijn:

  1. Risicobeheer implementeren (bijvoorbeeld op basis van ISO 27001)
  2. Beveiligingsmaatregelen treffen zoals updates, toegangsbeheer en encryptie
  3. Cyberincidenten binnen 24 uur melden aan autoriteiten
  4. Continuïteitsbeheer toepassen
  5. Leveranciers en toeleveringsketen beveiligen
  6. Bestuurlijke verantwoordelijkheid vastleggen, bijvoorbeeld met een SISO (Security Information Officer)

mcs

5: Wat gebeurt er als je niet voldoet aan de NIS2-verplichtingen?

Niet voldoen aan de NIS2-verplichtingen kan leiden tot forse sancties. Toezichthouders zoals het Agentschap Telecom of het CCB (in België) kunnen boetes opleggen tot €10 miljoen of 2% van de wereldwijde omzet. Ook kunnen audits of verplichte verbetermaatregelen worden opgelegd. En de boetes kunnen in sommige gevallen zelfs op het bestuur worden verhaald.

Reputatieschade en operationele risico’s

Naast financiële sancties leidt niet-compliance vaak tot reputatieschade. Klanten en partners verwachten dat hun gegevens veilig zijn. Maar denk ook aan productieverlies, datalekken of stilgevallen processen.

mcs

6: Wat zijn de verschillen met NIS1, ISO-normen en CRA?

NIS2 verschilt op meerdere punten van de oorspronkelijke NIS-richtlijn (NIS1). Zo vallen er nu meer organisaties onder de nieuwe NIS2-richtlijn en wordt de bestuurlijke verantwoordelijkheid verhoogt. In vergelijking met ISO-normen, zoals ISO 27001, en met de aankomende Cyber Resilience Act (CRA) is NIS2 meer juridisch bindend.

In de tabel hieronder zie je de belangrijkste verschillen tussen de normen.

Kenmerk NIS1 NIS2 ISO-normen (o.a. ISO 27001) Cyber Resilience Act (CRA)
Juridische status Europese

richtlijn (2016)

 Europese richtlijn (2023, nationale invoering in 2024/2025) Vrijwillige norm Bindende Europese verordening
Toepassingsgebied Essentiële dienstverleners (beperkte sectoren) Essentiële én belangrijke organisaties in meer sectoren Elke organisatie die zich wil certificeren Fabrikanten van digitale producten
Bestuursverant-woordelijkheid Nauwelijks benoemd Verplicht op directieniveau Richt zich op procesniveau Richt zich op productniveau
Verplichte maatregelen Algemene beveiligings-maatregelen Uitgebreide verplichtingen m.b.t. risicobeheer, monitoring, herstel Aanbevelingen en eisen voor informatie-beveiliging Verplichtingen voor veilige productontwikkeling en updates
Sancties Beperkt Hoog: audits, toezicht, boetes Geen wettelijke sancties (alleen bij contractuele eisen) Hoog: CE-markering verplicht, handhaving via markttoezicht
Focus Diensten en netwerken Digitale weerbaarheid van organisaties in brede zin Informatie-beveiliging Productveiligheid en cyberbeveiliging in de keten
Verplicht? Ja Ja Nee Ja

mcs

7: Vanaf wanneer is NIS2 verplicht in Nederland en België?

Sinds januari 2023 is NIS officieel van kracht gegaan in de EU. Elke Europese lidstaat moest voor oktober 2024 NIS2 omzetten in hun eigen nationale wetgeving. In Nederland gebeurt dit met de nieuwe Cyberbeveiligingswet (Cbw). Maar de deadline hiervoor is niet gehaald. De NCTV verwacht op het moment van schrijven dat de Cbw en de Wet weerbaarheid kritieke entiteiten in het derde kwartaal van 2025 in zal gaan.

In België zijn ze al verder. Daar is sinds 18 oktober 2024 de NIS2-wet onderdeel van de Belgische wetgeving. Het Centrum voor Cybersecurity België (CCB) is als toezichthouder verantwoordelijk voor de NIS2-handhaving in België.

mcs

8: Hoe bereid je je organisatie goed voor op NIS2?

Een goede voorbereiding op NIS2 begint met inzicht. Breng in kaart of jouw organisatie onder de richtlijn valt en analyseer waar de grootste risico’s zitten. Daarna is het zaak om processen, IT-beveiliging en interne verantwoordelijkheden op orde te brengen. En aantoonbaar te maken.

Het NIS2 Quality Mark helpt organisaties aan te tonen dat zij de juiste stappen zettenrichting compliance. Er zijn 3 niveaus van certificering:

  • QM10 (basis)
  • QM20 (substantieel)
  • QM30 (hoog)

mcs

Start nu met voorbereiden

NIS2 is meer dan een wettelijke verplichting. Het is ook een kans om je organisatie digitaal sterker, betrouwbaarder en toekomstbestendig te maken. En dat is geen overbodige luxe in onze digitale maatschappij met kwetsbare OT-omgevingen. Nu is het moment om te starten met voorbereiden.

Heb je vragen over NIS2 in relatie tot onze producten en diensten? Of wil je meer informatie over ons proces om NIS2-compliant te zijn? Neem contact met ons op!