Wat is de NIS2-richtlijn en wat moet je ermee voor je bedrijf?
Alles over deze wetgeving rondom cybersecurity
De digitale wereld groeit en ontwikkelt zich in een razend tempo, en daarmee ook de risico’s van cyberaanvallen. Om deze dreiging te minimaliseren, heeft de Europese Unie de NIS2-richtlijn (Network and Information Systems 2) ingevoerd. Dit is belangrijke wetgeving die gericht is op het verbeteren van de cybersecurity binnen de EU. In Nederland zal deze richtlijn gevolgen hebben voor meer dan 10.000 organisaties en bedrijven, en naar schatting nog eens 50.000 bedrijven die aan deze groep leveren. Maar wat houdt de NIS2-richtlijn precies in en wat betekent dit voor jouw bedrijf?
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een Europese wet die in het leven is geroepen om de digitale beveiliging van bedrijven en organisaties in Europa te versterken. De richtlijn vervangt de NIS1-richtlijn, die in 2016 werd ingevoerd, en bevat strengere eisen voor de beveiliging van netwerk- en informatiesystemen. Vanaf 17 oktober 2024 treedt de NIS2-richtlijn officieel in werking.
De nieuwe richtlijn breidt niet alleen het toepassingsgebied uit, maar stelt ook strengere eisen aan bedrijven, vooral binnen kritieke sectoren zoals energie, gezondheidszorg en digitale infrastructuur. Ook bedrijven buiten deze sectoren die deel uitmaken van de toeleveringsketen worden verplicht om aan deze nieuwe eisen te voldoen.
Voor welke sectoren geldt de NIS2-richtlijn?
Net als de oorspronkelijke NIS1-richtlijn richt de NIS2-richtlijn zich op bedrijven in vitale sectoren. Deze sectoren zijn cruciaal voor de samenleving en economie en omvatten onder andere:
Energie (elektriciteit, gas, olie)
Waterbeheer
Transport en logistiek
Gezondheidszorg
Financiële instellingen (banken, verzekeraars)
Digitale infrastructuur (cloudproviders, datacenters)
Overheidsdiensten
Naast deze vitale sectoren worden ook leveranciers aan deze sectoren verplicht om cybersecuritymaatregelen te implementeren. Dit betekent dat naast de 10.000 bedrijven die rechtstreeks onder de NIS2-richtlijn vallen ook ongeveer 50.000 bedrijven die leveren aan deze bedrijven moeten voldoen aan strengere eisen voor digitale veiligheid.
Wat zijn de belangrijkste verplichtingen?
De NIS2-richtlijn legt verschillende verplichtingen op aan bedrijven om ervoor te zorgen dat zij adequaat beschermd zijn tegen cyberdreigingen. Hier zijn de belangrijkste punten:
1. Strengere eisen aan beveiliging
Bedrijven die onder de NIS2-richtlijn vallen, moeten strengere beveiligingsmaatregelen treffen voor hun netwerk- en informatiesystemen. Dit betekent dat zij hun bestaande beveiligingsbeleid moeten herzien en waar nodig moeten verbeteren. Denk hierbij aan het updaten van software, het beveiligen van systemen tegen cyberaanvallen en het regelmatig uitvoeren van risicoanalyses.
2. Ketenzorgplicht
Een van de nieuwe verplichtingen onder NIS2 is de ketenzorgplicht. Dit betekent dat de bedrijven die direct onder de richtlijn vallen, verantwoordelijk zijn voor de cybersecurity binnen hun gehele toeleveringsketen. Ze moeten risicoanalyses uitvoeren en passende maatregelen opleggen aan hun leveranciers om ervoor te zorgen dat ook zij digitaal veilig werken.
3. Meldplicht voor incidenten
Bedrijven zijn verplicht om ernstige cyberincidenten, zoals datalekken of aanvallen, binnen 24 uur te melden aan de bevoegde autoriteiten, zoals het Nationaal Cyber Security Centrum (NCSC) in Nederland. Dit stelt de overheid in staat om sneller in te grijpen bij grootschalige incidenten.
4. Toezicht en handhaving
De NIS2-richtlijn introduceert striktere regels voor toezicht en handhaving. Nationale toezichthouders, zoals het NCSC, kunnen audits uitvoeren bij bedrijven om te controleren of ze voldoen aan de eisen van de richtlijn. Bedrijven die zich niet aan de regels houden, kunnen hoge boetes krijgen, oplopend tot 10 miljoen euro of 2% van hun jaarlijkse omzet.
Wat is er nu anders door deze wet?
De belangrijkste veranderingen ten opzichte van de NIS1-richtlijn zijn:
Uitbreiding van de sectoren: de NIS2-richtlijn geldt voor een breder scala aan sectoren en bedrijven, waaronder niet alleen vitale infrastructuren, maar ook bedrijven die onderdeel zijn van hun toeleveringsketen.
Strengere beveiligingseisen: alle bedrijven die onder de NIS2 vallen, moeten hun cybersecuritybeleid herzien en aanscherpen.
Ketenzorgplicht: De verantwoordelijkheid voor cybersecurity strekt zich nu uit over de hele toeleveringsketen, waardoor bedrijven ook maatregelen moeten opleggen aan hun leveranciers.
Verhoogde boetes en strengere handhaving: het niet naleven van de richtlijn kan leiden tot zware financiële sancties.
Wat betekent dit voor jouw bedrijf?
Als jouw bedrijf actief is in een van de sectoren die onder de NIS2-richtlijn vallen, moet je ervoor zorgen dat je voldoet aan de nieuwe eisen. Dit geldt niet alleen voor grote bedrijven, maar ook voor middelgrote en kleinere bedrijven die leveren aan vitale sectoren.
De ketenzorgplicht betekent dat je niet alleen je eigen beveiliging op orde moet hebben, maar ook moet samenwerken met leveranciers om de gehele keten digitaal veilig te maken. Dit kan betekenen dat je extra beveiligingsmaatregelen moet opleggen aan leveranciers en onderaannemers.
NIS2: wat moet je doen?
Om ervoor te zorgen dat jouw bedrijf voldoet aan de NIS2-richtlijn, kun je de volgende stappen ondernemen:
Check of jouw bedrijf onder de NIS2-richtlijn valt. Dit kun je doen door de specifieke informatie van de Europese Unie en het NCSC te raadplegen.
Herzie je cybersecuritybeleid: Zorg ervoor dat je voldoet aan de strengere beveiligingseisen van de NIS2-richtlijn.
Voer risicoanalyses uit: Beoordeel de risico's binnen je toeleveringsketen en neem maatregelen om deze risico's te beperken.
Train je medewerkers en leveranciers: Zorg ervoor dat iedereen binnen je organisatie en keten zich bewust is van de cybersecuritymaatregelen en weet wat te doen bij een incident.
Zorg voor een incidentenrapportageprotocol: Maak een plan om incidenten snel te melden aan de bevoegde autoriteiten.
Door op tijd actie te ondernemen, zorg je ervoor dat je voldoet aan de NIS2-richtlijn en voorkom je boetes of schade door cyberaanvallen.