Terug naar overzicht
Blog

NIS2 liveblog - continue updates!

NIS2: de 'network & information security'-richtlijn die opgenomen wordt in onze nationale wetgeving. Veel organisaties gaan in dit kader te maken krijgen met verplichtingen. Hoe ziet dit eruit, wat is er bekend en voor wie geldt dit? We houden je op de hoogte in deze NIS2 liveblog!
Door: Marco Vader
IT Security
NIS2
Previder Arrow
E-book 'in vier stappen naar een goede informatiebeveiliging'
Download gratis e-book

Bekijk regelmatig dit blog over NIS2, waar we continu content beschikbaar maken over wat deze richtlijn voor jouw organisatie betekent. Bovenaan deze pagina vind je structureel de nieuwste updates en duiding vanuit Previder. Als CISM bij Previder help ik je graag met vraagstukken rondom NIS2. Neem contact met mij op als je vragen hebt.

Update maandag 28-08-2023: Wat is NIS2 en wie moet er wat mee?

COVID-19, de oorlog in Oekraïne en een toename van cyberdreigingen. Zomaar een greep uit waar we de afgelopen jaren mee te maken hadden. Daarom heeft de Europese Unie gewerkt aan de Network and Information Security directive (NIS2). Deze is erop gericht de digitale en economische weerbaarheid van Europese lidstaten te verbeteren. De NIS2-richtlijn focust zich op risico's die netwerk- en informatiesystemen bedreigen en is de opvolger van de eerste NIS-richtlijn (NIB), die in 2016 in ons land is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Wanneer is de NIS2-richtlijn van kracht?

Alle Europese lidstaten, dus ook Nederland, hebben tot eind 2024 om de NIS2-richtlijn op te nemen in de nationale wetgeving. Aan de concrete vertaling naar Nederlandse wetgeving wordt op dit moment gewerkt. Dit najaar kan er feedback worden gegeven op de wet- en regelgeving, wat betekent dat er dan dus ook meer bekend zal worden over de inhoud. Klik hier voor de volledige NIS2-tijdlijn.

Hoeveel weten we al over wat er in de NIS2-richtlijn staat?

We weten dat er een zorgplicht en meldplicht komt. Daarnaast komen organisaties die onder de richtlijn vallen onder toezicht te staan.

  • Zorgplicht: deze verplicht entiteiten zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
  • Meldplicht: entiteiten moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • Toezicht: Er wordt gekeken naar e naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Welke sectoren onder welke toezichthouder komen te vallen, wordt nog bekendgemaakt.

Voor wie geldt de NIS2-richtlijn?

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de onderstaande sectoren en volgens de criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

NIS2 richtlijn

1. Essentiële entiteiten

Dat zijn grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie tabel). Een organisatie is groot op basis van de volgende criteria:

  • minimaal 250 werknemers of;
  • een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

2. Belangrijke entiteiten

Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2. Een organisatie is middelgroot op basis van de volgende criteria:

  • minimaal 50 werknemers of;
  • een jaaromzet en balanstotaal van meer dan € 10 miljoen.

Kun je al iets doen om je voor te bereiden op de NIS2?

Het Nationaal Cyber Security Centrum (NCSC, onderdeel Ministerie van Justitie en Veiligheid) geeft al tips om je voor te bereiden op NIS2. Zo is er een lijst met basismaatregelen die iedere organisatie zou moeten treffen om cyberaanvallen tegen te gaan. Daaronder valt o.a.:

  • Het inrichten van risicomanagement
  • Toepassen van sterke authenticatie
  • Rolgebaseerde toegang tot data en diensten
  • Bescherming tegen verlies van gegevens
  • Loginformatie centraliseren en analyseren

Bekijk hier de volledige lijst. Daarnaast geven ze aan dat er gedacht moet worden aan:

  • Inventariseren en analyseren van risico’s
  • Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
  • Identificeren van alternatieve toeleveringsketens
  • Bewustwording van personeel van risico’s en te nemen maatregelen