Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een Europese richtlijn die gaat over het beveiligen van netwerk- en informatiesystemen van bedrijven. De bedrijven die onder deze richtlijn vallen moeten wettelijk aan bepaalde regels voldoen die o.a. gaan over het beveiligen van klantgegevens en maatregelen tegen cybercriminaliteit.
De NIS2-richtlijn is al vanaf 15 januari 2023 van kracht. Bedrijven hebben tot 17 oktober 2024 de tijd om aan de regels te voldoen. Wij adviseren om nu alvast te kijken naar wat je moet doen om aan de richtlijn te voldoen. Dit voorkomt dat je op het laatste moment toch nog wordt overvallen. Iets wat we veel zagen gebeuren met de AVG.
Update NIS2 richtlijn (juni '24)
Binnen de 27 lidstaten van de Europese Unie heeft elk land zijn eigen implementatieprocedure. Belangrijke handelspartners zoals Duitsland en België liggen op schema om de richtlijn op 17 oktober 2024 in te voeren. De Nederlandse implementatie is echter uitgesteld. De deadline van 17 oktober wordt niet gehaald. De laatste mededeling van de overheid was tweeledig:
- Ze verwachten eind 2024 klaar te zijn met de wetteksten.
- Ze adviseren om nu al te starten met de voorbereidingen, omdat dit een omvangrijke taak is.
Er zijn minimaal drie zaken die je nu al moet regelen:
- Starten met risico-inventarisaties.
- Starten met het nemen van extra beveiligingsmaatregelen.
- Starten met het opstellen van procedures voor een betere beveiliging en meldplicht.
Deze richtlijn is van toepassing op bedrijven met meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro.
Als hulpmiddel heeft de overheid een online tool ontwikkeld: de regelhulp voor bedrijven. Hiermee kun je nagaan of je een essentieel of belangrijk bedrijf bent en binnen de scope van NIS2 valt. De tool stelt een reeks vragen over de aard en omvang van je bedrijfsactiviteiten en toont of je onder de NIS2-richtlijn valt.
Hulp nodig bij NIS2 richtlijn? Das ICT helpt je op weg!
Welke bedrijven vallen onder NIS2?
Of jouw bedrijf onder de richtlijn valt hang af van 2 dingen: de sector waar je bedrijf onder valt én de grootte van je bedrijf.
De eerste versie van de NIS stamt uit 2016 en gold vooral voor aanbieders van essentiële diensten. De nieuwe NIS2-richtlijn is op veel meer sectoren van toepassing, dus ook veel meer bedrijven moeten nu verplicht maatregelen nemen.
De sectoren die al onder de eerste NIS-richtlijn vielen zijn:
• Energie
• Transport
• Bankwezen
• Financiële instellingen
• Zorg
• Drinkwater
• Digitale infrastructuur
Onder NIS2 komen daar de volgende sectoren bij:
• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Beheer van ICT-diensten
Valt jouw bedrijf in een van deze sectoren? Dan moet je in principe voldoen aan de NIS2-richtlijn. Er geldt echter een uitzondering voor kleine bedrijven. Als jouw bedrijf minder dan 10 miljoen aan jaarinkomsten of minder dan 50 werknemers heeft val je niet onder de richtlijn.
Aan welke regels moet een bedrijf voldoen voor de NIS2-richtlijn?
Valt jouw bedrijf onder NIS2? Dan zijn er een aantal zaken waar je mee te maken krijgt.
Zorgplicht
Om te voldoen aan de zorgplicht moet je zelf een risicobeoordeling uitvoeren. Afhankelijk van wat daaruit komt neem je maatregelen om te zorgen dat jij je diensten zo lang en goed mogelijk uit kunt blijven voeren. Daarnaast ben je verplicht om informatie die je gebruikt (bijvoorbeeld klantgegevens) zo goed mogelijk te beschermen.
Rapportageplicht
Als je te maken krijgt met een zogenaamd incident, dan ben je als bedrijf verplicht om dit binnen 24 uur te melden aan de juiste instantie. Bij een cyberincident moet je daarnaast ook een melding doen bij het CSIRT (Computer Security Incident Response Team).
Toezicht
Als jouw bedrijf onder de NIS2-richtlijn valt kom je automatisch onder toezicht te staan. Er wordt dan gecontroleerd of je de richtlijn naleeft.
Wat kan of moet je doen?
Ook al moet de Nederlandse overheid nog besluiten aan welke eisen een bedrijf precies moet voldoen, wij adviseren bedrijven om nu alvast in kaart te brengen hoe je cybersecurity er voor staat. Dit doe je door het maken van een risicobeoordeling.
Het kost niet veel moeite en het helpt enorm bij de digitale beveiliging van je bedrijf. Je kunt kiezen of je de risicobeoordeling zelf uitvoert of dat je het laat doen. Uiteraard staan wij voor je klaar om te helpen.
Mijn bedrijf valt niet onder de NIS2-richtlijn, hoef ik dus niks te doen?
Wettelijk hoef je inderdaad niks te doen. Maar bedenk wel dat de kans op beveiligingsrisico’s en cybercriminaliteit telkens meer toeneemt, met alle schades van dien. Wij adviseren ondernemers om (met de richtlijn in hun achterhoofd) echt even goed naar hun eigen beveiliging te kijken en minimaal een risicobeoordeling uit te voeren.
Niet alleen belangrijk voor je eigen bedrijf, maar ook voor de veiligheid van je klanten.
Met Das ICT ben jij klaar voor de NIS2-richtlijn!
We begrijpen goed dat het voldoen aan de richtlijn soms best ingewikkeld kan zijn. Als echte ICT’ers staan we natuurlijk klaar om jou te helpen om alles in orde te maken.
Je kunt o.a. bij ons aankloppen voor risicoanalyses, aanpassen en/of optimaliseren van protocollen en het uitbrengen van advies. Via onze trainingspartners kunnen we zelfs awareness-training aanbieden zodat ook jouw personeel optimaal toegerust is om bedreigingen op tijd op te pikken.
