Cybersecurity is een steeds belangrijker onderwerp in onze digitale wereld. Om bedrijven en organisaties beter te beschermen tegen cyberdreigingen, heeft de EU de NIS2-richtlijn ontworpen (Network and Information Security). In deze richtlijn staan verplichtingen die de Nederlandse wetgever moet opleggen aan bedrijven en organisaties in kritieke sectoren om de cybersecurity te vergroten en cyberaanvallen tegen te gaan. De richtlijn is de opvolger van de eerste NIS-richtlijn, die in Nederland is geïmplementeerd in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2-richtlijn introduceert nog strengere eisen en een bredere reikwijdte dan zijn voorganger.
Voor wie geldt de NIS2-richtlijn?
De NIS2-richtlijn richt zich op een breder scala aan sectoren dan de oorspronkelijke richtlijn, maar blijft van toepassing op sectoren die al onder de eerste NIS-richtlijn vielen.
Uw organisatie valt automatisch onder de NIS2-richtlijn als:
- Uw organisatie actief is in een van de sectoren als vermeld in
bijlage 1 van de NIS2-richtlijn (zeer kritieke sectoren) of
bijlage 2 van de NIS2-richtlijn (kritieke sectoren);
En
- U heeft een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan € 10 miljoen (uw organisatie is een belangrijke entiteit); of
- U heeft een grote organisatie met meer dan 250 werknemers of een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen (uw organisatie is een essentiële entiteit).
Voorbeelden van zeer kritieke sectoren zijn energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur en overheidsdiensten.
Voorbeelden van kritieke sectoren zijn digitale aanbieders, post- en koeriersdiensten en chemische stoffen. Zij worden als ‘’kritiek’’ aangemerkt omdat storingen of incidenten in hun diensten ernstige gevolgen kunnen hebben voor de maatschappij, economie, of nationale veiligheid.
Wat zijn de verplichtingen onder de NIS2-richtlijn?
Organisaties die onder de NIS2-richtlijn vallen, krijgen te maken met verschillende verplichtingen. Zo krijgen zij onder andere een zorgplicht om risico’s op het gebied van cybersecurity te beoordelen en maatregelen te nemen om de veiligheid van haar diensten te waarborgen. Dit omvat onder andere het beschermen van gevoelige informatie en het minimaliseren van de impact van veiligheidsincidenten.
Ook krijgen deze organisaties een meldplicht. Incidenten die de essentiële dienstverlening aanzienlijk verstoren, moeten binnen 24 uur worden gemeld aan de toezichthouder, de Rijksinspectie Digitale Infrastructuur (RDI) . Indien het incident een cyberincident is, zal ook melding moeten worden gemaakt bij het Computer Security Incident Response Team (CSIRT). Factoren zoals het aantal getroffenen en de financiële impact bepalen of een incident meldingsplichtig is.
Ook komen organisaties die onder de NIS2-richtlijn vallen onder toezicht te staan. Dit houdt in dat dat er wordt gekeken of de organisatie zich aan de NIS2-verplichtingen houdt, zoals de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Hoe kunt u zich voorbereiden?
Hoewel de Nederlandse implementatie van de NIS2-richtlijn in de vorm van de Cyberbeveiligingswet (Cbw) naar verwachting pas in het derde kwartaal van 2025 ingaat, is het belangrijk om alvast stappen te zetten. Hoe u zich kunt voorbereiden leest u onze eerdere blog over de NIS2-richtlijn.
Heeft u vragen of advies over het voorgaande? Neem dan direct contact met ons op via info@thelegalcompany.nl of bel naar 020 345 0152.
