Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie?

Wat is de NIS2-richtlijn?

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, Oekraïne, cyberdreigingen en de gevolgen van klimaatverandering. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB (netwerk- en informatiebeveiliging), die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Wat betekent de NIS2-richtlijn voor jouw organisatie?

De Europese lidstaten hebben tot eind 2024 de tijd om de richtlijn op te nemen in nationale wetgeving. Zo moet een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Hieronder wordt samengevat welke verplichtingen de NIS2-richtlijn voorschrijft en voor welke sectoren ze gaan gelden, zodat organisaties zich een beeld kunnen vormen van de verplichtingen waaraan ze eind 2024 mogelijk moeten voldoen.

Welke sectoren en organisaties vallen onder de NIS2-richtlijn?

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter.

De organisaties die onder de NIS2-richtlijn vallen behoren tot de volgende sectoren:

Sectoren bijlage 1	Sectoren bijlage 2
Energie Transport Bankwezen Infrastructuur Gezondheidszorg Drinkwater Digitale infrastructuur Afvalwater Overheidsdiensten Ruimtevaart Beheer van ICT-diensten	Digitale aanbieders Post- en koeriersdiensten Afvalstoffenbeheer Levensmiddelen Chemische stoffen Onderzoek Vervaardiging / manufacturing

Essentiële en belangrijke entiteiten

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiële entiteiten
- Dat zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
- Een organisatie is groot op basis van de volgende criteria:
  1. meer dan 250 werknemers of;
  2. een netto omzet van € 50 miljoen of meer en een balanstotaal van € 43 miljoen of meer.
Belangrijke entiteiten
- Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en organisaties die actief zijn in een sector uit bijlage II.
- Een organisatie is middelgroot op basis van de volgende criteria:
  1. 50 of meer werknemers of;
  2. een jaaromzet of balanstotaal van €10 miljoen of meer.

Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten een grotere ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht; zowel vooraf als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet of als een incident heeft plaatsgevonden.

Geldt de NIS2-richtlijn ook voor het mkb?

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.

Daarnaast zijn er nog micro- en kleine bedrijven die wel onder de NIS2-richtlijn vallen. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen wél automatisch onder de NIS2-richtlijn. Overheidsinstanties uit de bovenstaande sectoren vallen ook automatisch onder NIS2-richtlijn.

Wil je weten of je onderneming een mkb-onderneming is? Bekijk de mkb-toets op de website van de RVO.

Welke verplichtingen schrijft de NIS2-richtlijn voor?

Zorgplicht - De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Meldplicht - De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht - Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Wat kunnen organisaties van de overheid verwachten?

De NIS2-richtlijn verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale risico’s. Essentiële en belangrijke entiteiten moeten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.

Wat kunnen organisaties alvast doen om zich voor te bereiden?

Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. Het Digital Trust Center geeft houvast met de 5 basisprincipes van veilig digitaal ondernemen en tools die je kunt gebruiken om je beter te beschermen tegen cyberaanvallen. Ook kan er gedacht worden aan het:

Inventariseren en analyseren van risico's.
Bekijk bijvoorbeeld het stappenplan risicoanalyse voor meer informatie;
Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing. Stel bijvoorbeeld een incident response plan op;
Identificeren van alternatieve toeleveringsketens;
Bewustwording van personeel van risico’s en te nemen maatregelen; Denk bijvoorbeeld aan het verhogen van cyberbewustwording en het herkennen van phishing;
Ook is het verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.

Tijdlijn: van EU-richtlijn naar nationale wetgeving

Momenteel wordt de onderstaande planning gevolgd in het vertalen van de NIS2-richtlijn naar nationale wetgeving. Dit is een indicatieve planning, die nog kan wijzigen. Eventuele wijzigingen zullen hier gepubliceerd worden.

2022

Op 28 november 2022 is de NIS2-richtlijn vastgesteld door de Europese Raad;
Op 27 december 2022 is de NIS2 richtlijn gepubliceerd in de Official Journal van de Europese Unie.

2023

In januari 2023 is de implementatietermijn van 21 maanden gestart. Binnen 21 maanden moeten de bepalingen van de richtlijn worden opgenomen in nationale wetgeving.
Aan het einde van het tweede kwartaal van 2023 start een internetconsulatieperiode van 6 weken. Burgers, bedrijven en overheidsinstellingen kunnen verbeteringen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden vervolgens gepubliceerd en waar mogelijk verwerkt in de wetsvoorstellen. De wetsvoorstellen worden gepubliceerd op internetconsultatie.nl. De exacte datum waarop de consultatie start is nog niet bekend.

2024

Naar verwachting zal de wet eind 2024 in werking treden nadat deze door het parlement is behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Heb je nog vragen over de NIS2-richtlijn?

Bovenstaande informatie roept mogelijk vragen op die op dit moment helaas nog niet beantwoord kunnen worden omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. In de zomer van 2023 start een consulatieperiode waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijn naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden. We houden je via deze pagina, LinkedIn, Twitter en de DTC Community op de hoogte van ontwikkelingen rondom de NIS2-richtlijn.

Hoewel veel vragen nu nog niet beantwoord kunnen worden, hoort het Digital Trust Center en de Rijksoverheid wel graag welke vragen jouw organisatie heeft. We bieden de mogelijkheid om je vraag te stellen en in contact te komen met andere ondernemers en cybersecurity professionals over de NIS2-richtlijn via de DTC Community en de themaruimte over NIS2.