Eind 2024 is het zo ver, dan treedt de nieuwe richtlijn NIS2 in werking. En, net als bij de komst van de AVG, horen wij vooral: ‘Wat moet ik daar nou weer mee?’. Een zorgplicht, meldplicht en kans op boetes; de nieuwe richtlijn heeft een grote impact op organisaties. Hoe zorgt u ervoor dat deze impact positief zal zijn, in plaats van negatief? In deze blog gaan we in op wat de richtlijn precies is en hoe u uw bedrijf kunt voorbereiden.
Wat is NIS2?
De NIS2-richtlijn, ofwel de ‘Network and Information Security Directive 2’ komt in plaats van de huidige NIS-richtlijn, die in Nederland geïmplementeerd is als de WBNI (Wet Beveiliging netwerk- en informatiesystemen). De nieuwe richtlijn stelt regels voor organisaties in de Europese Unie, met als doel om de weerbaarheid te vergroten tegen alle dreigingen die hackers en malware te weeg brengen. En dit is hard nodig, want de ontwikkeling van cybercriminaliteit staat niet stil 1.
Voor wie geldt NIS2?
Of uw organisatie moet voldoen aan de NIS2 hangt af van de grootte en de sector. Is uw organisatie ‘groot’ of ‘middelgroot’ en valt deze onder een ‘kritiek sector’? Dan moet u aan de NIS2 voldoen. Dit lichten we toe.
Uw organisatie is ‘groot’ als deze voldoet aan één van deze voorwaarden:
- 250 werknemers of meer
- Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal boven de 43 miljoen euro
Uw organisatie is ‘middelgroot’ als deze voldoet aan één van deze voorwaarden:
- 50-249 werknemers met een jaaromzet van 10 tot 50 miljoen euro
- 50-249 werknemers met een balanstotaal van 10 tot 43 miljoen euro
De kritieke sectoren zijn afgebeeld in de tabel hieronder. Uw organisatie moet dus voldoen aan de NIS2 als deze in een van deze sectoren valt én een ‘grote’ of ‘middelgrote’ organisatie is.
Uitzonderingen hierop zijn organisaties die hier niet aan voldoen, maar toch als dusdanig belangrijk gezien worden, zoals centrale overheidsinstanties, DNS-dienstverleners en aanbieders van openbare elektronische communicatienetwerken.
Sectoren gekenmerkt als ‘kritieke sectoren’
Rijksoverheid: NIS2 Zelfevaluatie NL
Weet u niet of uw organisatie onder de richtlijn valt? De Rijksoverheid heeft een tool ontwikkeld om na te gaan of de NIS2-richtlijn op uw organisatie van toepassing is: regelhulpenvoorbedrijven.nl/NIS-2-NL
Waar moet mijn bedrijf aan voldoen?
Wat belangrijk is om te weten, is dat u als bestuur van uw organisatie aansprakelijk bent voor de naleving van de richtlijn. Doet u dat niet? Dan riskeert u een boete. Sommige organisaties worden actief gecontroleerd of ze voldoen aan NIS2. Andere worden reactief gecontroleerd, dus bijvoorbeeld wanneer klanten een melding maken van een non-conformiteit Non-conformiteit is een situatie waarin iets niet voldoet aan de vereiste standaarden. . Welke manier van controle geldt voor uw organisatie, kunnen onze security consultants voor u vaststellen.
Dit is wat u in ieder geval moet uitvoeren/implementeren in uw organisatie:
- Risicoanalyse
- Incidentenbehandeling
- Bedrijfscontinuïteitsbeleid
- Beveiliging van toeleveringsketen (in relaties/leveranciers)
- Effectiviteit van maatregelen meten (KPI’s)
- Cyberhygiëne en opleiding voor het personeel
- Beleid en procedures inzake gebruik cryptografie en encryptie
- Beveiligingsaspecten t.a.v. personeel, zoals toegangsbeleid en beheer activa
- Beveiliging bij verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
- Gebruik van 2FA, beveiligd noodcommunicatiesysteem, etc.
Mocht zich een incident voordoen, dan moet dit binnen 24 uur worden gemeld bij de toezichthouder.
De rol van ISO 27001
Om uw organisatie compliant te maken aan NIS2, raden wij aan om de norm ISO 27001 te implementeren. Met deze norm voldoet u niet alleen aan de eisen van NIS2, maar bouwt u tegelijkertijd ook aan een managementsysteem (het ISMS) dat alle maatregelen die u heeft getroffen ook onderhoudt. In plaats van het schrijven van een vuistdik beleidsdocument om aan NIS2 te voldoen en dat u – laten we eerlijk zijn – opbergt in een ladekast, zorgt u met het opzetten van een ISMS voor een duidelijk proces van continue verbetering.
Aan de slag!
Laat de impact van NIS2 niet negatief zijn en zie juist het positieve ervan in. Want met een verbeterde cyberweerbaarheid, kunt u een hoop narigheid voorkomen. Minder kans op virussen én boetes. Dus onderneem nu de stappen, zodat u met een gerust hart aan het kerstdiner van 2024 kunt zitten.
- https://www.abnamro.nl/nl/zakelijk/insights/cybersecurity/cyberaanval/aantal-bedrijven-getroffen-door-cyberaanval-gestegen-tot-45procent.html ↩︎
Dit artikel is geschreven door Margo Sportel. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met haar op.