Menu

Sluit
NIS2-header

NIS2-startpunt

NIS2-richtlijn voor digitale en economische weerbaarheid

De Network and Information Security Directive (NIS2-richtlijn) is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. Meer specifiek richt het zich op digitale (cyber)risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.

Extra weerbaarheid voor sommige sectoren

Organisaties vallen automatisch onder de NIS2-richtlijn als ze actief zijn in een NIS2-sector én aangemerkt worden als 'essentieel' of 'belangrijk' volgens onderstaande criteria:

  • Essentiële entiteiten

    Dat zijn grote organisaties die actief zijn in een sector uit bijlage 1. Een organisatie is groot op basis van de volgende criteria:

    • Minimaal 250 werknemers of;
    • Een jaaromzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.

 

  • Belangrijke entiteiten

    Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage 1 en middelgrote en grote organisaties die actief zijn in een sector uit bijlage 2. Een organisatie is middelgroot op basis van de volgende criteria:

    • 50 of meer werknemers of;
    • Een jaaromzet en balanstotaal van €10 miljoen of meer.

 

Met de Zelfevaluatietool NIS2 check je of jouw bedrijf of organisatie onder de NIS2-richtlijn valt.

Handige NIS2-tools

Webinar NIS2

Voor alle bedrijven die meer willen weten over de reikwijdte van de nieuwe wet heeft het Ministerie van Economische Zaken en Klimaat een informatief webinar georganiseerd. Je kan het webinar 'De impact van NIS2 op jouw organisatie' terugkijken op YouTube

Bekijk het webinar

Wat schrijft de NIS2-richtlijn voor?

 
10 Zorgplichtmaatregelen

NIS2-bedrijven moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Onder de zorgplicht vallen ten minste:

  • Maatregel 1: Een risicoanalyse en beveiliging van informatiesystemen;
  • Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  • Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen; 
  • Maatregel 4: Incidentenbehandeling; 
  • Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  • Maatregel 6: Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  • Maatregel 7: Beveiliging van de toeleveranciersketen;
  • Maatregel 8: Beleid en procedures over het gebruik van cryptografie en encryptie; 
  • Maatregel 9: Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen; 
  • Maatregel 10: Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Graag geven we meer uitleg en adviezen voor elk van deze 10 maatregelen zodat je je organisatie bijtijds kunt voorbereiden op de NIS2. Start bij Maatregel 1.

 

 

  • Registratieplicht

    Wie onder de NIS2-richtlijn valt, moet zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Zodra dit technisch mogelijk is, plaatsen we hier een link.

  • Meldplicht

    Incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren, moeten gemeld worden bij de toezichthouder. Betreft het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT) dat vervolgens hulp- en bijstand levert. Factoren die een incident 'meldingswaardig' maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

  • Toezicht

    NIS2-organisaties komen onder toezicht te staan van een nader te bepalen toezichthouder. Deze kijkt naar de naleving van de verplichtingen uit de richtlijn zoals zorg- en meldplicht.

Risico-analyse

1. Maak een beleidsplan risicoanalyse

NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's het zwaarst drukken en waar beveiligingsmaatregelen het hardst nodig zijn.

Lees verder
Beveilgingsaspecten

2. Personeel, toegangsbeleid en beheer assets

NIS2-organisaties hebben beleid en procedures om de toegang en rechten voor assets zoals apparaten, servers etc. te beschermen. Daarvoor is nodig dat het personeel bewust is van de veilige omgang met de assets. Ook vraagt het beleid op het verstrekken van toegang tot de assets.

Lees verder
Samenvatting NIS2-maatregelen

Samenvatting NIS2-voorbereidingsmaatregelen

NIS2-bedrijven moeten 10 NIS2-zorgplichtmaatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Lees de hoofdlijnen van wat je moet doen om je organisatie voor te bereiden op de NIS2. Meer informatie nodig? Bekijk dan de 10 maatregelen afzonderlijk.

Lees verder
NIS2-Quickscan

De NIS2-Quickscan

De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.

Naar de NIS2-Quickscan
NIS2-vraag

Stel je vragen over NIS2 aan de DTC Community

Het DTC biedt ondernemers en securityprofessionals de mogelijkheid om vragen over NIS2 te stellen aan de DTC Community in de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met de NIS2-voorbereidingen bezighouden.

Meld je aan