De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne, en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.
Het Nationaal Cyber Security Centrum (NCSC) heeft een pagina gepubliceerd met handige informatie omtrent NIS2. De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Naast de NIS2-richtlijn heeft de Europese Commissie eind 2022 ook de CER-richtlijn vastgesteld, die zich richt op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. Beide richtlijnen richten zich op een verbetering van de weerbaarheid van de Europese lidstaten, tegen dreigingen die de maatschappij of economie kunnen verstoren of ontwrichten.
Wat betekent de NIS2-richtlijn voor uw organisatie?
De Europese lidstaten hebben tot eind 2024 de tijd om de NIS2 richtlijn op te nemen in nationale wetgeving. Zo moet volgens de richtlijn een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Dit roept waarschijnlijk vragen op die op dit moment helaas nog niet beantwoord kunnen worden, simpelweg omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. Rond de zomer van 2023 start een consulatie-periode waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijn naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden.
Welke sectoren en organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter. De organisaties die onder de tweede NIS-richtlijn vallen behoren tot:
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging / manufacturing
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. In tegenstelling tot de CER-richtlijn, vindt bij de NIS2-richtlijn dus geen aanwijzing plaats door de ministeries.
- Essentiële entiteiten: Dat zijn grote organisaties die actief zijn in één van bovenstaande sectoren:
- Een organisatie is groot op basis van de volgende criteria:
- meer dan 250 werknemers of;
- een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
- Een organisatie is groot op basis van de volgende criteria:
- Belangrijke entiteiten: Dat zijn middelgrote organisaties die actief zijn in zijn in één van bovenstaande sectoren:
- Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
- Een organisatie is middelgroot op basis van de volgende criteria:
Wat kunnen organisaties alvast doen om zich voor te bereiden?
Vooruitlopend op de komst van de nationale wetgeving kunnen organisaties zich alvast voorbereiden op hun zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van hun processen en diensten verbeteren. CW Greenport biedt een toolbox aan waarin een aantal basismaatregelen staan die organisaties kunnen implementeren om zich beter te beschermen tegen risico’s en schade door cyberaanvallen. Ook kan er gedacht worden aan het:
- Inventariseren en analyseren van risico’s.
- Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing.
- Identificeren van alternatieve toeleveringsketens.
- Bewustwording van personeel van risico’s en te nemen maatregelen.
- Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen.