NIS staat voor Network and Information Security directive. Dit is een richtlijn die sinds 2020 bestaat om de digitale en economische weerbaarheid te verbeteren van Europese lidstaten. De NIS2 is de opvolger hiervan. De richtlijnen zorgen voor een hoger niveau van cybersecurity bij bedrijven. Wat betekent dit voor jouw organisatie?
Voor wie is de NIS2 richtlijn?
De NIS2 of 2.0 richt zich niet alleen meer op grote organisaties zoals water- en telecombedrijven, maar ook MKB-bedrijven die essentiële diensten leveren moeten zich aan deze richtlijn houden. In de vernieuwde richtlijn worden bedrijven ingedeeld in ‘essentieel’ of ‘belangrijk’.
Voor beide categorieën gelden dezelfde eisen voor IT-security, maar er gelden andere toezichtregelingen. Het overschrijden van de richtlijnen heeft gevolgen bij bedrijven. Essentiële bedrijven kunnen hierbij rekenen op hogere sancties dan belangrijke bedrijven.
De volgende sectoren behoren tot de NIS2 in alle EU-landen:
- Energie
- Transport
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Digitale infrastructuur
- Digitale dienstverlening
- ICT-service management
- Levensmiddelen
- Onderzoek
- Post- en koeriersdiensten
- Overheidsdiensten
- Chemische stoffen
- Afvalwater
- Vervaardiging/manufacturing
- Afvalstoffenbeheer
- Ruimtevaart
Wat gebeurt er als bedrijven de NIS2 niet naleven?
De NIS 2 is in de EU per 16 januari 2023 in werking getreden. Bedrijven die binnen bovengenoemde sectoren vallen hebben 21 maanden de tijd om te voldoen aan de NIS 2.0 richtlijn.
Zoals we hierboven beschreven, heeft het niet naleven van de NIS2 richtlijnen gevolgen. Onder andere boetes en strafrechtelijke sancties behoren tot deze gevolgen. Dit kunnen forse boetes zijn van maximaal 10 miljoen euro of 2% van de jaaromzet.
Voordelen van de NIS 2.0
De implementatie van deze richtlijn kan lang duren, daarom is er besloten om bedrijven 21 maanden de tijd te geven. Zorg je dat deze tijd benut, want de NIS2 heeft alleen maar voordelen:
- Betere bescherming van jouw diensten bij klanten en/of partners.
- Verbetering van jouw digitale veiligheidsposities.
- Verbetering van de reputatie van jouw bedrijf of organisatie.
Meer weten over hoe je jouw bedrijf digitaal veiliger kunt maken? Neem cybersecurity pas écht serieus en maak je bedrijf klaar voor de NIS2.
Welke verplichtingen zijn opgenomen in de NIS 2.0?
De verplichtingen vallen onder drie pilaren: zorgplicht, meldplicht en toezicht:
Zorgplicht
Organisaties en bedrijven zijn verplicht om zelf een risicobeoordeling te doen. Op basis hiervan moeten ze passende maatregelen nemen om de diensten te waarborgen en de benodigde informatie te beschermen.
Meldplicht
Elk bedrijf is verplicht binnen 24 uur na een incident een melding te maken bij de toezichthouder. Hierbij gaat het om incidenten die het verlenen van de essentiële dienst sterk kunnen verstoren. Daarnaast moet een cyberincident ook gemeld worden bij het Computer Security Incident Response Team.
Toezicht
Alle organisaties die moeten voldoen aan de richtlijn, komen onder toezicht te staan. Deze onafhankelijke toezichthouder kijkt naar de naleving van de verplichtingen in de richtlijn.
Hoe zorg je ervoor dat jouw bedrijf voldoet aan de NIS2?
Neem ruim de tijd voor de implementatie van de NIS2. Dit is niet binnen 24 uur geregeld.
Stap 1: Basismaatregelen vanuit de overheid
Het Nationaal Cybersecurity Centrum heeft een aantal basismaatregelen opgesteld waar ieder bedrijf aan moet voldoen. Deze basismaatregelen heb je bijvoorbeeld meegenomen in jouw cybersecurity beleid.
Stap 2: Breng ‘Essentiële’ en ‘Belangrijke’ bedrijven in kaart
Om het risico op incidenten te verminderen, heb je inzicht in jouw huidige klanten en leveranciers nodig. Wie loopt het meeste risico en hoe verminder je dit risico?
Stap 3: Wees goed voorbereid
Dat klinkt als een enorm cliché, maar elk bedrijf kan te maken krijgen met een cyberaanval of datalek. Wees hierop voorbereid. Zorg ervoor dat je medewerkers weten wat ze moeten doen en bij wie ze moeten zijn indien zich een incident voordoet. Het is helemaal geen gek idee om een keer een cyberaanval te simuleren, net zoals een brandoefening.
Meer advies over jouw cybersecurity beleid?
Neem vrijblijvend contact op met een van de HP Partners.