NIS2

Europese richtlijn voor IT-security

Background

De NIS2-richtlijn wordt naar verwachting eind 2024 van kracht. NIS2 is een uitbreiding van de bestaande NIS-richtlijn. Het is van toepassing op meer organisaties en stelt strengere eisen aan cyberbeveiliging voor essentiële en belangrijke dienstverleners in de Europese Unie.

Voor veel organisaties in Nederland is NIS2-compliance dus een must. Wij onderzoeken vrijblijvend en kosteloos of NIS2 van toepassing op uw organisatie is, en wat u kunt doen om aan de richtlijn te voldoen.

Wat is de NIS2-richtlijn?

De NIS2-richtlijn, die in 2020 werd geïntroduceerd en sinds 16 januari 2023 van kracht is, is een voortzetting en uitbreiding van de vorige EU-richtlijn voor cyberbeveiliging, NIS. De richtlijn is door de Europese Commissie voorgesteld om voort te bouwen op de tekortkomingen van de oorspronkelijke NIS-richtlijn en deze te verhelpen.

NIS2 is bedoeld om de beveiliging van netwerk- en informatiesystemen in de EU te verbeteren door leveranciers van kritieke infrastructuur en essentiële diensten te verplichten passende beveiligingsmaatregelen te treffen en incidenten te melden bij de autoriteiten.

Vergeleken met NIS breidt NIS2 de EU-brede beveiligingseisen en het toepassingsgebied van de betrokken organisaties en sectoren uit om de beveiliging van toeleveringsketens te verbeteren, de rapportageverplichtingen te vereenvoudigen en strengere maatregelen en sancties in heel Europa af te dwingen.

Waar staat ‘NIS2’ voor?

NIS2 staat voor “Network and Information Security Directive”.

NIS2 wordt in 2024 wettelijk

Lidstaten hebben tot dan de tijd om de richtlijn om te zetten in nationale wetgeving. Dit betekent dat elke organisatie die onder de richtlijn valt, wettelijk verplicht is om voor het vierde kwartaal van 2024 aan de eisen van de richtlijn te voldoen.

De originele NIS

De oorspronkelijke NIS-richtlijn had ook als doel het cyberbeveiligingsniveau van de EU-lidstaten te verhogen, maar de uitvoering stuitte op problemen en leidde in inconsistente inspanningen in de hele Europese Unie. In het licht van de toenemende cyberdreigingen heeft de EU-commissie NIS2 voorgesteld als vervanging.

De nieuwe NIS2-richtlijn vereist dat essentiële en belangrijke organisaties basisbeveiligingsmaatregelen implementeren om het gevaar van enkele veelvoorkomende cyberbedreigingen te beperken. Deze omvatten:

Risicobeoordelingen en beveiligingsbeleid voor informatiesystemen

Beleid en procedures voor het gebruik van cryptografie en, indien relevant, encryptie.

Beveiliging rond de aanschaf van systemen en de ontwikkeling en het gebruik van systemen. Dit betekent dat er beleid moet zijn voor het omgaan met en rapporteren van kwetsbaarheden.

Beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke gegevens, inclusief beleid voor gegevenstoegang. Betrokken organisaties moeten ook een overzicht hebben van alle relevante bedrijfsmiddelen en ervoor zorgen dat deze op de juiste manier worden gebruikt en behandeld.

Het gebruik van multi-factor authenticatie, oplossingen voor continue authenticatie, versleuteling van spraak, video en tekst, en versleutelde interne noodcommunicatie, indien van toepassing.

Beleid en procedures voor het evalueren van de effectiviteit van beveiligingsmaatregelen.

Een plan voor het afhandelen van beveiligingsincidenten.

Cybersecurity training en een basis richtlijn om verantwoord om te gaan met computersystemen.

Een plan voor het beheren van de bedrijfsvoering tijdens en na een beveiligingsincident. Dit betekent dat back-ups up-to-date moeten zijn. Er moet ook een plan zijn om de toegang tot IT-systemen en hun bedrijfsfuncties te garanderen tijdens en na een beveiligingsincident.

Beveiliging rond toeleveringsketens en de relatie tussen het bedrijf en de directe leverancier. Bedrijven moeten beveiligingsmaatregelen kiezen die passen bij de kwetsbaarheden van elke directe leverancier. En vervolgens moeten bedrijven het algemene beveiligingsniveau voor alle leveranciers beoordelen.

Vergeleken met de oude NIS-richtlijn is NIS2 van toepassing op aanzienlijk meer organisaties. Deze worden gekenmerkt door:

  1. Activiteit in essentiële en belangrijke sectoren (zie de afbeelding hiernaast)
  1. Minimaal 50 medewerkers en/of een jaaromzet en balanstotaal van minimaal EUR 10 miljoen

Weet u niet zeker of NIS2 van toepassing is op uw organisatie? Aarzel niet om een gratis NIS2 Assessment aan te vragen.

Opmerking:
Een organisatie kan nog steeds als essentieel of belangrijk worden beschouwd zonder te voldoen aan de groottecriteria. Bijvoorbeeld wanneer deze kritiek is voor de maatschappelijke of economische activiteit van Nederland.

De lidstaten moeten naar verwachting eind 2024 (exacte datum nog onbekend) aan NIS2 te voldoen.

De lidstaten stellen op 17 april 2025 opnieuw een lijst op van essentiële en belangrijke organisaties.

De Europese Commissie evalueert de werking van de NIS2-richtlijn uiterlijk op 17 oktober 2025.

NIS2 Quickscan aanvragen

We helpen u graag verder met uw NIS2 vraagstuk.

Margo Sportel
Security Consultant