Als je werkzaam bent in de Nederlandse ICT-sector, is de kans groot dat je al bekend bent met NIS2. Zo niet, dan is het goed dat je dit leest. NIS2 is de nieuwste EU-richtlijn die tot doel heeft de cybersecurity en cyberweerbaarheid in heel Europa te versterken. Deze richtlijn wordt in Nederland in 2025 omgezet in de Cyberbeveiligingswet (Cbw) Maar wat houdt NIS2 eigenlijk in en hoe kan het van invloed zijn op jouw organisatie? In deze blog gaan we dieper in op de belangrijkste aspecten van NIS2 en de gevolgen ervan voor bedrijven en instellingen. 

Wat is de NIS2-richtlijn?

NIS2, als opvolger van de NIS-richtlijn, is in het leven geroepen om de cybersecurity en digitale weerbaarheid in heel Europa te versterken. Het doel is bescherming te bieden aan organisaties die een cruciale rol spelen in de internetinfrastructuur. Deze maatregelen zijn ingesteld om te reageren op de toenemende dreiging van geavanceerde cyberaanvallen en zo de digitale veiligheid van de EU-lidstaten te waarborgen.   

Wanneer gaat de Cyberbeveiligingswet (Cbw) in?

Hoewel de NIS2-richtlijn sinds oktober 2024 geldt binnen de EU, is Nederland nog bezig met de nationale implementatie. De Cyberbeveiligingswet (Cbw), die de richtlijn in ons land zal invoeren, wordt in het derde kwartaal van 2025 verwacht. Een overgangsperiode dus, maar zeker geen reden om achterover te leunen, want organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen. Het is dus van belang om je de komende maanden goed voor te bereiden. 

uitleg nis2

Security is niet langer optioneel 

Het vermijden van boetes mag natuurlijk nooit de enige motivatie zijn om je beveiliging op orde te hebben. Iedere organisatie zou zich bewust moeten zijn van het belang van cybersecuritymaatregelen. Cyberaanvallen worden steeds geavanceerder en frequenter, met ernstige gevolgen voor systemen, gegevens en reputatie. Een succesvolle cyberaanval kan de bedrijfscontinuïteit verstoren en de reputatie van een organisatie schaden. Daarom is cybersecurity geen optionele investering meer, maar een belangrijk onderdeel van het moderne bedrijfsleven.  

Door de juiste maatregelen te implementeren, verklein je niet alleen de kans op een aanval, maar minimaliseer je ook de impact ervan als het toch gebeurt. 

Bestuurders worden persoonlijk aansprakelijk 

Met de komst van de Cyberbeveiligingswet is de vrijblijvendheid sowieso volledig verdwenen. De wet voegt namelijk iets opvallends toe: Bestuurders spelen een belangrijke rol in de nieuwe regelgeving. Ze moeten niet alleen toezien op de naleving van cybersecuritymaatregelen, maar kunnen ook persoonlijk aansprakelijk worden gesteld als het misgaat. Dit betekent dat bestuurders goed op de hoogte moeten zijn van wat de richtlijn inhoudt en wat dit concreet betekent voor hun organisatie. Actief betrokken zijn bij cybersecurity is dus niet langer een optie, maar een vereiste. Bovendien kunnen klanten en stakeholders hun vertrouwen in jouw organisatie verliezen, wat je bedrijfsvoering ernstig kan beïnvloeden. Dit benadrukt dus het belang van actieve betrokkenheid en naleving van cybersecuritymaatregelen door bestuurders. 

Om ervoor te zorgen dat bestuurders en medewerkers voldoende kennis hebben om cyberdreigingen te herkennen is het belangrijk om een passend opleidingsplan te maken. Een praktisch voorbeeld is dat bestuurders regelmatig bijgewerkte cybersecuritytrainingen volgen en deze kennis verspreiden binnen de organisatie, waardoor een bewustere en beter voorbereide werkomgeving ontstaat. 

Welke organisaties vallen onder NIS2? 

De NIS2-richtlijn maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten, gebaseerd op hun rol in de maatschappij en de potentiële impact van cyberincidenten op hun diensten. Dit onderscheid is belangrijk om de continuïteit van vitale diensten en infrastructuur te waarborgen.

Essentiële entiteiten:

Deze organisaties zijn van vitaal belang voor het functioneren van de samenleving. Een verstoring in hun diensten kan grote gevolgen hebben. Voorbeelden van sectoren die onder essentiële entiteiten vallen, zijn:

  • Energievoorziening: Leveranciers van elektriciteit, gas en olie.
  • Transport: Beheerders van spoorwegen, luchtvaart, scheepvaart en wegtransport.
  • Financiële sector: Banken en infrastructuren van financiële markten.
  • Gezondheidszorg: Ziekenhuizen en andere zorginstellingen.
  • Drinkwater: Leveranciers van drinkwater.
  • Digitale infrastructuur: Internetknooppunten, DNS-dienstverleners en datacenters.
  • Overheidsdiensten: Ministeries, provincies, gemeenten en waterschappen.

Deze sectoren zijn opgenomen in Bijlage I van de NIS2-richtlijn. 

Belangrijke entiteiten:

Hoewel deze organisaties niet als essentieel worden beschouwd, spelen ze een belangrijke rol in de economie en maatschappij. Sectoren die onder belangrijke entiteiten vallen, zijn:

  • Post- en koeriersdiensten: Bedrijven die verantwoordelijk zijn voor de bezorging van post en pakketten.
  • Afvalbeheer: Organisaties die zich bezighouden met afvalinzameling en -verwerking.
  • Productie en distributie van chemische stoffen: Bedrijven in de chemische industrie.
  • Voedselproductie: Producenten en distributeurs van voedsel.
  • Digitale aanbieders: Online marktplaatsen, zoekmachines en cloudcomputingdiensten.

Deze sectoren zijn opgenomen in Bijlage II van de NIS2-richtlijn. 

Overheidsinstanties:

Overheidsinstanties, zoals ministeries, provincies, gemeenten en waterschappen, worden aangemerkt als essentiële entiteiten. Maar, overheidsinstanties die hoofdzakelijk activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving zijn uitgesloten van de NIS2-richtlijn. 

Belangrijke aandachtspunten:

  • Groottecriteria: De classificatie als essentiële of belangrijke entiteit is mede afhankelijk van de grootte van de organisatie. Grote organisaties in de sectoren van Bijlage I worden als essentieel beschouwd, terwijl middelgrote organisaties in deze sectoren als belangrijk worden aangemerkt. Voor sectoren in Bijlage II worden zowel middelgrote als grote organisaties als belangrijk beschouwd.
  • Uitzonderingen: Micro- en kleine ondernemingen vallen in principe niet onder de NIS2-richtlijn, tenzij ze specifieke diensten leveren die cruciaal zijn voor de maatschappij. In dat geval kunnen ze alsnog worden aangewezen.

Het is belangrijk voor organisaties om te bepalen of ze onder de NIS2-richtlijn vallen en welke verplichtingen daarbij horen. Dit helpt bij het nemen van passende maatregelen.

Via deze link kun je controleren of jouw organisatie onder NIS2 valt. 

NIS 2 bijlage-1-zeer-kritieke-sectoren andere-kritieke-sectoren

bron www.nctv.nl

Hoofdpijlers van NIS2: Zorg- en meldplicht 

NIS2 draait niet alleen om het voorkomen van incidenten, maar ook om het adequaat reageren als er toch iets gebeurt. Dat brengt ons bij de zorg- en meldplicht. Zorgplicht bij NIS2 betekent dat bedrijven verplicht zijn om passende maatregelen te nemen om cyberbeveiligingsincidenten te voorkomen en te beperken. Dit omvat het identificeren van risico’s, het implementeren van beveiligingsmaatregelen en het rapporteren van incidenten aan de relevante autoriteiten. Als je een inbreuk op de beveiliging ontdekt die de werking van jouw diensten kan beïnvloeden, dan is het tijd om in actie te komen. Melden is niet alleen een verplichting, maar het helpt ook om de schade te beperken. 

Voorbeeld: Stel je voor dat een digitale dienstverlener merkt dat er ongeautoriseerde toegang is geweest tot gevoelige klantgegevens. In dit geval is het niet alleen een kwestie van intern oplossen, maar ook van het melden  

Je bent verplicht je cyberincidenten binnen 24 uur (bij dienstverstoring) of binnen 72 uur (in andere gevallen) te rapporteren aan de juiste instanties (toezichthouders) en de getroffen klanten.   

Overzicht van toezichthouders 

  • Rijksinspectie Digitale Infrastructuur (RDI): De RDI houdt toezicht op de naleving van de NIS2-richtlijn voor de energiesector, digitale infrastructuur en digitale dienstverleners. 
  • Inspectie Leefomgeving en Transport (ILT): ILT houdt toezicht op sectoren zoals transport en milieu. 
  • Inspectie Gezondheidszorg en Jeugd (IGJ): IGJ houdt toezicht op de gezondheidszorgsector. 

Een cyberincident moet daarnaast ook bij het Computer Security Incident Response Team (CSIRT) worden gemeld, dat hulp en bijstand kan verlenen. 

Organisaties moeten er ook op toezien dat hun medewerkers zich digitaal veilig gedragen. Een voorwaarde daarvoor is dat zij zich bewust zijn van de risico’s en weten hoe ze die zoveel mogelijk kunnen beperken. Regelmatige trainingen op het gebied van security-awareness zijn daarmee naast het implementeren van passende beveiligingsmaatregelen verplicht.  

NIS2 checklist: hoe word je compliant met NIS2?

Laten we eens kijken naar de stappen die je kunt nemen om NIS2-compliant te worden: 

  1. Bepaal of jouw organisatie onder de NIS2-richtlijn valt: Kijk of jouw bedrijf als essentieel of belangrijk wordt beschouwd en dus onder de reikwijdte van NIS2 valt.
  2. Ontdek waar eventuele tekortkomingen liggen met betrekking tot de richtlijn: Onderzoek waar jouw organisatie mogelijk niet aan de NIS2-verplichtingen voldoet. Denk bijvoorbeeld aan technische beveiligingsmaatregelen, beleidsprocedures en securitybewustzijn van medewerkers. Als je niet weet hoe je dit moet aanpakken, biedt onze dienst CISO as a Service van Ictivity ondersteuning en begeleiding om dit proces soepel te laten verlopen. 
  3. Stel vast welke maatregelen nodig zijn om aan de verplichtingen te voldoen: Maak een plan om te voldoen aan de specifieke eisen van NIS2. 
  4. Ontwerp een sterk cybersecurity-kader: Dit moet zowel organisatorische als technische maatregelen bevatten. Dat kan betekenen dat je geavanceerde firewalls installeert, gevoelige gegevens versleutelt, toegangscontrolesystemen invoert en regelmatig beveiligingsaudits uitvoert. 
  5. Voer de maatregelen in jouw bedrijf uit: Nadat het plan klaar is, is het heel belangrijk om de voorgestelde acties echt uit te voeren in de organisatie. Dat kan betekenen dat verschillende afdelingen moeten samenwerken, er geïnvesteerd moet worden in nieuwe technologieën en medewerkers intensief moeten worden getraind. 

Dan zijn er nog enkele specifieke acties die je kunt ondernemen:  

  • Analyseer de risico’s op het gebied van cyberbeveiliging: Voer regelmatig grondige analyses uit om mogelijke risico’s te identificeren. 
  • Maak een goed plan voor hoe je omgaat met cyberincidenten. Zorg ervoor dat je organisatie voorbereid is op mogelijke cyberproblemen door middel van een Incident Respons Plan. 
  • Controleer je contracten: Zorg ervoor dat alle partners in jouw toeleveringsketen voldoen aan de vereiste beveiligingsstandaarden. 
  • Maak iemand binnen je organisatie verantwoordelijk voor security: Dit is vaak een Chief Information Security Officer (CISO). Dit kan zowel intern als extern zijn, bijvoorbeeld door middel van onze CISO as a Service dienst. 

Het is verstandig om tijdig te beginnen met de voorbereidingen om aan de NIS2-richtlijn te voldoen en zo jouw organisatie beter te beschermen tegen cyberaanvallen. Schakel hiervoor gerust hulp in. 

NIS2 verplichtingen en controles 

NIS2 legt zware verplichtingen op aan organisaties, en de controle op naleving verschilt afhankelijk van de classificatie als essentieel of belangrijk. Voor essentiële organisaties, zoals die in de financiële sector, omvat dit grondige audits, verplichte rapportage aan autoriteiten en actieve monitoring. Belangrijke organisaties, waaronder middelgrote bedrijven, worden regelmatig beoordeeld en ondergaan gerichte controles op specifieke aspecten van cybersecurity. Kort gezegd, de controle-intensiteit hangt af van de rol en impact van de organisatie in de samenleving en de sector. Het niet naleven van deze regelgeving kan leiden tot boetes, waarvan de hoogte afhangt van de categorie van de organisatie. 

Zie de nieuwe Cyberbeveiligingswet als kans voor groei 

In plaats van de Cbw te zien als een last, kun je het ook oppakken als een kans om de digitale weerbaarheid van je organisatie te verbeteren. Door proactief en effectief te handelen, kun je niet alleen voldoen aan de richtlijnen, maar ook een sterker, veerkrachtiger bedrijf opbouwen. Dit is belangrijk, want een incident kan slecht zijn voor de reputatie van je bedrijf en het kost doorgaans meer tijd om het vertrouwen terug te winnen dan het implementeren van een goed securitybeleid. 

We hopen dat deze gids je helpt om de complexiteit van NIS2 te begrijpen en stappen te ondernemen naar naleving en succes. Als je toch met vragen zit, aarzel dan niet om professioneel advies in te winnen. Als je niet weet waar je moet beginnen, is onze Cybersecurity Assessment een goede eerste stap.  

Terug naar overzicht