Sluit

Wat gaat de NIS2-richtlijn betekenen voor jouw organisatie?

Wat is de NIS2-richtlijn?

Diverse dreigingen zetten de veiligheid van onze maatschappij en economie in toenemende mate onder druk. Denk daarbij aan de oorlog in Oekraïne, cyberdreigingen, de gevolgen van klimaatverandering en COVID-19.

Om de digitale en economische weerbaarheid van Europese lidstaten ten aanzien van deze dreigingen te versterken heeft de Europese Unie eind 2022 de Network and Information Security Directive (NIS2-richtlijn) aangenomen. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s.

Lees op de pagina 'Wat is de NIS2-richtlijn' meer over de inhoud en tijdslijn van deze richtlijn en welke organisaties onder de richtlijn vallen.

Wat staat mijn organisatie te wachten?

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de NIS2-richtlijn naar nationale wetgeving. Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook omdat de impact voor Nederlandse organisaties groot is. Zo zullen er bijvoorbeeld ten opzichte van bestaande wetgeving meer sectoren en meer organisaties moeten voldoen aan de nieuwe wetgeving. Bovendien wordt er meer van betrokken sectoren en organisaties gevraagd. Er komt een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.

In het eerste kwartaal van 2024 vindt de internetconsultatie plaats. De concept wetteksten zijn dan gereed en sectoren, organisaties en personen krijgen dan gelegenheid erop te reageren. Dit geeft organisaties meer inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Dat wil niet zeggen dat de concept wetteksten al meteen alles duidelijk maken. Na de internetconsultatie worden de ontvangen reacties overwogen en eventueel doorgevoerd. Ook worden specifieke zaken en details nog uitgewerkt in lagere wet- en regelgeving. Tegelijkertijd kunnen organisaties nu al veel doen om zich voor te bereiden.

Zodra de consultatieperiode start, kun je een verwijzing naar de concept wetteksten vinden via de website, social media kanalen en de community van het Digital Trust Center.

Wacht niet af, maar ga nu al aan de slag

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.

  • Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van jouw organisatie kunnen verstoren. Bekijk bijvoorbeeld het stappenplan risicoanalyse.
  • Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
  • Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden. Stel bijvoorbeeld een incident response plan op.

Bekijk op de pagina 'Hoe kan mijn organisatie zich voorbereiden op de NIS2-richtlijn?' hoe je de bovenstaande stappen kunt zetten.

De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.

Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?

Indien je wilt weten of je organisatie aan de wetgeving moet voldoen, dan kun je meer informatie vinden op de pagina 'Wat is de NIS2-richtlijn', waaronder een verwijzing naar een NIS2-tool van RDI, waarmee je zelf kunt evalueren of je organisatie onder de NIS2-richtlijn valt.

Heb je nog vragen over de NIS2-richtlijn?

We houden je via deze pagina, LinkedIn, X, Mastodon en de DTC Community op de hoogte van ontwikkelingen rondom de NIS2-richtlijn.

Hoewel veel vragen nu nog niet beantwoord kunnen worden, hoort het Digital Trust Center en de Rijksoverheid wel graag welke vragen jouw organisatie heeft. We bieden de mogelijkheid om je vraag te stellen en in contact te komen met andere ondernemers en cybersecurity professionals over de NIS2-richtlijn via de DTC Community en de themaruimte over NIS2.

Vertel het ons:
NIS2 Themaruimte op DTC Community

Stel jouw vragen over NIS2 via de DTC Community

Het DTC biedt ondernemers en professionals de mogelijkheid om vragen over NIS2 te stellen via de DTC Community en de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met de NIS2-richtlijn bezighouden.

NIS2-tool: valt jouw organisatie onder NIS2?

Op 18 oktober is de zelf-evaluatie NIS2 gelanceerd, die in nauwe afstemming met betrokken ministeries en toezichthouders, door de RDI is ontwikkeld. Wie de zelf-evaluatie invult, weet of zijn organisatie onder de NIS2-richtlijn valt en of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’.

Webinar NIS2

Bekijk het NIS2-webinar

Voor alle bedrijven die meer willen weten over de reikwijdte van de nieuwe NIS2-wetgeving heeft het Ministerie van Economische Zaken en Klimaat een informatief webinar georganiseerd. Je kan het webinar 'De impact van NIS2 op jouw organisatie' terugkijken op YouTube.