nlenbe-nlDé beste software voor kwaliteits- en risicomanagement.

Blijf op up-to-date over de nieuwe Europese NIS2-richtlijn

Cybercriminelen kunnen bij 93% van de bedrijfsnetwerken binnendringen. Niet zo gek dus, dat Europa de nieuwe NIS2-richtlijn in het leven riep. Deze securityrichtlijn moet zorgen voor meer cyberveiligheid en weerbaarheid van essentiële bedrijven in de EU. Een tijdje terug schreven we al een blog over de essentie van NIS2. Inmiddels is er meer bekend over de nieuwe richtlijn. Zo heeft de Nederlandse overheid aangegeven dat ze de deadline voor de NIS2-wetgeving niet haalt. Benieuwd naar de laatste ontwikkelingen? Lees dan snel verder!

Had jij een jaar geleden al van de NIS2-richtlijn gehoord? Was jouw organisatie er toen al actief mee bezig? De kans is groot dat dat het antwoord ‘nee’ is, maar dat gold toen voor de meeste  organisaties. Inmiddels verschijnt de cybersecurityrichtlijn regelmatig in het nieuws. Heb je deze berichten toch gemist? We zetten de belangrijkste basics over de NIS2 nog even kort voor je op een rij:

Wat is de NIS2-richtlijn? Een kort overzicht

  • De NIS2-richtlijn is de opvolger van een eerdere Europese richtlijn uit 2016. NIS staat voor ‘Network and Information Security’. Viel jouw organisatie hier al onder en nam je dus al NIS-maatregelen? Dan is de kans groot dat dit deels overeenkomt met de nieuwe richtlijn.
  • De NIS werd in het leven geroepen om de cyberveiligheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren. Lidstaten moeten meer samenwerken om de veiligheid te verbeteren.
  • Alle lidstaten moeten voor 17 oktober 2024 de cybersecurityrichtlijn vertalen naar nationale wetgeving. De Nederlandse overheid heeft nu aangegeven deze deadline niet te halen.
  • De NIS2 verscherpt de vereisten voor cybersecurity, waarbij risicomanagement een belangrijke rol speelt.
  • De nieuwe richtlijn omvat veel meer sectoren dan de oude NIS-richtlijn. Verder in dit artikel kun je bekijken of je organisatie hier straks onder valt.
  • Organisaties kunnen worden ingedeeld in twee categorieën: ‘belangrijk’ of ‘essentieel’. Het grote verschil tussen deze categorieën zit hem in de monitoring en het naleven van de regels. Meer hierover lees je hieronder!
  • Valt jouw organisatie straks onder de NIS2-richtlijn? Dan moet je voldoen aan een zorgplicht en een meldplicht. Ook komt er een onafhankelijke toezichthouder die erop toeziet of organisaties zich aan hun verplichtingen houden.

Goed om te weten: veel NIS2-maatregelen zijn onderdeel van de basis informatiebeveiligingsmaatregelen die je organisatie waarschijnlijk nu al voor een deel neemt. Deze maatregelen zijn ook in andere (inter)nationale standaarden opgenomen, zoals ISO27001 en NEN7510.

Meer weten over wat de NIS2-richtlijn is, wat je verplichtingen zijn en voor wie de richtlijn geldt? Dat lees je hier.

Uitstel implementatie NIS2 in Nederland

Wat betekent de NIS2-richtlijn voor Nederland? Zoals hierboven al kort aangehaald, krijgen Europese lidstaten tot 17 oktober 2024 de tijd om de NIS2-richtlijn om te zetten naar nationale wetgeving. Eind februari liet Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius weten dat Nederland deze deadline niet gaat halen. De reden? Het wetgevingstraject en de materie is complexer dan verwacht.

Dat is dan ook meteen één van de redenen dat je dit als ‘belangrijke’ of ‘essentiële’ organisatie moet zien als een signaal om vooral níét achterover te leunen: de complexiteit. Ook demissionair minister Yeşilgöz roept organisaties op om de voorbereidingen toch verder te zetten. Je kunt beter vandaag beginnen en het tempo erin houden, want een goede voorbereiding neemt tijd in beslag.

Veel Nederlandse bedrijven hebben ‘nog geen idee’ wat hen te wachten staat. Volgens Samen Digitaal Veilig heeft de nieuwe Europese richtlijn gevolgen voor ruim 50.000 Nederlandse bedrijven. Slechts een kleine minderheid is van de nieuwe eisen op de hoogte. Dit kan grote gevolgen hebben voor het Nederlandse bedrijfsleven. Duizenden bedrijven dreigen klanten kwijt te raken als ze te laat aan de slag gaan met de NIS2-implementatie. Vooral Duitsland is koploper en hecht zwaar aan de naleving.

Nóg een reden om met de NIS2-wetgeving aan de slag te gaan (als je die nog nodig had)… Internationaal wordt de Europese wetgeving wel gewoon volgens plan uitgevoerd. Wacht dus zeker niet als jouw organisatie internationale vestigingen of klanten heeft.

Uitstel implementatie NIS2 in Nederland

Label ‘essentieel’ of ‘belangrijk’

Anticiperen op de NIS2-richtlijn is volgens Thierry van Delden, Compliancy & Privacy Offer bij Infoland, niet alleen een kwestie van willen voldoen aan nieuwe wetgeving. “Voldoen aan de richtlijn is een strategische stap om je als organisatie goed te bewapenen tegen cyberdreigingen. En ook al is het niveau van je cybersecurity nog zo goed, je zal als je onder de NIS2-richtlijn valt een hoop aanvullende maatregelen moeten nemen.”

Denk aan het opzetten van het beleid en de procedures waarmee je de meldplicht vormgeeft, maar ook het in kaart brengen en waarborgen van risico’s. Het gaat dan niet alleen om de beveiligingsrisico’s in je eigen organisatie – de NIS2-richtlijn beschrijft duidelijk dat je ook de veiligheid binnen je leveranciersketen moet waarborgen.

Welke maatregelen je moet nemen als de richtlijn ingaat, hangt af van welk label je organisatie krijgt: ‘essentieel’ of ‘belangrijk’. De labels waren nog niet opgenomen in de oude NIS-richtlijn van 2016.

Organisaties onder de NIS2 richtlijn - Zenya

Het aantal sectoren is uitgebreid, omdat er tegenwoordig nu eenmaal veel meer cyberaanvallen plaatsvinden dan in 2016.  Zo meldt het Nationaal Cyber Security Centrum (NCSC) dat er tussen maart 2022 en februari 2023 meer dan 10.000 cyberincidenten zijn gemeld. De NIS-richtlijn moest dus worden aangescherpt, de labels ‘essentieel’ en ‘belangrijk’ helpen hierbij.

Organisaties die kritiek zijn voor het draaiende houden van de Nederlandse maatschappij, krijgen het label ‘essentieel’. Als vuistregel kun je aanhouden dat wanneer zo’n organisatie stil zou komen te liggen door een cyberaanval, dit een ernstige impact zou hebben op het land. Denk aan energiecentrales, luchthavens, banken of ziekenhuizen.

Wanneer organisaties met het label ‘belangrijk’ zouden uitvallen heeft dit wellicht geen directe gevolgen voor de samenleving, maar het kan wel een grote impact hebben op ons leven en de Nederlandse economie. Voorbeelden van ‘belangrijke’ organisaties zijn telecom- of internetproviders, post- en pakjesdiensten of afvalverwerkingsbedrijven.

“Voor essentiële of belangrijke organisaties gelden straks dezelfde eisen voor cybersecuritymanagement, ze hebben allemaal een zorgplicht”, zegt Thierry. “Het belangrijkste verschil tussen de twee labels is de mate van toezicht op het naleven van de regels.”

  • Essentiële organisatiesvallen onder proactief toezicht. Er wordt dus actief gecheckt of zij de regels correct geïmplementeerd hebben én naleven.
  • Belangrijke organisatieskunnen pas toezicht verwachten nadat er een cyberincident heeft plaatsgevonden, en alleen als hier aanwijzingen voor zijn.

Wanneer je als essentiële organisatie niet voldoet aan de richtlijn, zijn de gevolgen dus groter. Zo kun je te maken krijgen met boetes die oplopen tot minstens 10 miljoen euro of 2% van je jaaromzet. Leef je de NIS2-richtlijn niet na als belangrijk bedrijf? Dan kun je en boete krijgen van maximaal 7 miljoen euro of 1,4% van je wereldwijde jaaromzet.

Ga nu met de NIS2-implementatie aan de slag

Ga nú met de NIS2-implementatie aan de slag

Onvoldoende bekendheid met de nieuwe richtlijn kan het Nederlandse bedrijfsleven zwaar komen te staan. Om dit te voorkomen is Samen Digitaal Veilig (SDV) opgericht. Met deze samenwerking slaan 63 branche- en koepelorganisaties de handen ineen. Het doel van SDV is om toeleveranciers van NIS2-organisaties te helpen hun cybersecurity op orde te krijgen. Volgens SDV kun je niet langer wachten om met NIS2 aan de slag te gaan. Nederland behoort volgens hen tot de achterlopers. Een gezamenlijke inspanning is nodig!

Ook de Rijksoverheid adviseert organisaties om stappen te zetten, om zo de continuïteit van de bedrijfsprocessen beter te waarborgen. Dit zijn voor een deel ook de maatregelen die als zorg- en meldplicht in de NIS2-wetgeving worden opgenomen.

Hoewel Zenya geen security-oplossing an sich is, kan onze software jouw organisatie wel degelijk helpen met het borgen van de maatregelen. Zenya RISK kun je inzetten voor het in kaart brengen van je cybersecurityrisico’s. Zo kun je ze op een eenvoudige manier identificeren, beheersen, monitoren én aantoonbaar maken. Met Zenya CHECK kun je belangrijke leveranciers auditen op het naleven van de NIS2-richtlijn. De mate waarin je dit zult moeten doen, hangt af van het label waar je organisatie en leveranciers onder vallen (essentieel of belangrijk).

Vertrouw op onze bewezen ISMS-oplossing

Daarnaast bieden we een kant-en-klare ISMS oplossing aan in Zenya. Onze bewezen ISMS oplossing wordt al door veel klanten succesvol ingezet.

  • Je krijgt een gebruiksvriendelijke, intuïtieve oplossing waarmee iedereen kan werken. Onze ISMS software werkt als single source of truth om NIS2 in je organisatie te borgen. Je beschikt altijd over up-to-date informatie.
  • Met realtime dashboards krijg je inzicht in de status van beveiligingsrisico’s en maatregelen. Signaleer proactief potentiële risico’s en zwakke plekken in je informatiebeveiliging.
  • Zenya faciliteert een duidelijk eigenaarschap van assets, beveiligingsrisico’s en NIS2-maatregelen. Zo voldoe je aan de wet- en regelgeving, waaronder ook de NIS2-richtlijn.

Meer weten over Zenya?

Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.

Download de brochure voor Zenya Software - Software voor kwaliteits- en risicomanagement

Gratis demo beschikbaar

Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.

Benieuwd hoe Zenya je kan helpen met het borgen van de NIS2-richtlijn?

Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.