Cybersecurity en digitale weerbaarheid krijgen binnen organisaties steeds meer aandacht. De invoering van de NIS2-richtlijn zorgt ervoor dat veel organisaties moeten beoordelen of zij onder deze nieuwe Europese regelgeving vallen.
Voor sommige organisaties betekent dit dat zij zich moeten registreren als NIS2-entiteit en aanvullende maatregelen moeten treffen op het gebied van informatiebeveiliging, governance en incidentmanagement.
Toch blijkt in de praktijk dat veel organisaties nog niet precies weten of de NIS2-richtlijn op hen van toepassing is.
In deze blog leggen we uit wat NIS2 inhoudt, welke organisaties onder de richtlijn kunnen vallen, wat de registratieplicht betekent en hoe organisaties zich kunnen voorbereiden.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (Network and Information Security Directive 2) is de Europese wetgeving die als doel heeft de digitale weerbaarheid van organisaties en de continuïteit van essentiële diensten te versterken.
De richtlijn volgt de oorspronkelijke NIS-richtlijn op en breidt de reikwijdte aanzienlijk uit. Daardoor vallen meer organisaties onder de regelgeving dan voorheen.
NIS2 richt zich op organisaties die een belangrijke rol spelen binnen de economie, samenleving en digitale infrastructuur.
Waarom is NIS2 ingevoerd?
Cyberaanvallen, ransomware, datalekken en verstoringen van digitale dienstverlening komen steeds vaker voor.
Een incident bij één organisatie kan grote gevolgen hebben voor klanten, burgers, leveranciers en andere organisaties binnen de keten.
Met NIS2 wil de Europese Unie organisaties stimuleren om risico’s beter te beheersen en passende beveiligingsmaatregelen te treffen.
De richtlijn richt zich onder meer op:
- risicobeheersing;
- informatiebeveiliging;
- incidentmanagement;
- governance;
- ketenverantwoordelijkheid;
- meldplicht van incidenten;
- toezicht en handhaving.
Welke organisaties vallen onder NIS2?
De toepasselijkheid van NIS2 wordt bepaald door verschillende factoren.
Belangrijke criteria zijn:
- de sector waarin de organisatie actief is;
- het aantal medewerkers;
- de jaaromzet;
- het balanstotaal;
- eventuele aanwijzingen door de overheid.
Voorbeelden van sectoren die onder NIS2 kunnen vallen
Zeer kritieke sectoren
- Energie
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Transport
- Overheidsdiensten
- Bankwezen
- ICT-dienstverleners
Andere kritieke sectoren
- Afvalbeheer
- Levensmiddelenindustrie
- Chemische industrie
- Onderzoek
- Productiebedrijven
- Post- en koeriersdiensten
- Digitale aanbieders
De exacte beoordeling blijft afhankelijk van de situatie van de organisatie.
Wat zijn essentiële en belangrijke entiteiten?
Binnen NIS2 wordt onderscheid gemaakt tussen twee categorieën organisaties:
Essentiële entiteiten
Dit zijn organisaties waarvan uitval of verstoring een grote maatschappelijke impact kan hebben.
Voorbeelden zijn bepaalde organisaties binnen:
- energie;
- gezondheidszorg;
- digitale infrastructuur;
- overheid;
- financiële dienstverlening.
Belangrijke entiteiten
Dit zijn organisaties die eveneens een belangrijke maatschappelijke of economische functie vervullen, maar doorgaans onder een lichter toezichtregime vallen.
Voor beide categorieën gelden verplichtingen op het gebied van informatiebeveiliging en risicobeheersing.
Wanneer geldt een registratieplicht?
Organisaties die onder NIS2 vallen, moeten zich registreren als essentiële of belangrijke entiteit.
De registratieplicht helpt toezichthouders om inzicht te krijgen in welke organisaties onder de richtlijn vallen.
Daarmee ontstaat ook duidelijkheid over toezicht, communicatie en meldprocedures.
Voor veel organisaties begint de voorbereiding daarom met het vaststellen van hun positie binnen NIS2.
Welke verplichtingen brengt NIS2 met zich mee?
NIS2 vraagt organisaties om passende technische, organisatorische en bestuurlijke maatregelen te nemen.
Voorbeelden hiervan zijn:
Risicomanagement
Organisaties moeten risico’s identificeren, beoordelen en beheersen.
Incidentmanagement
Er moeten procedures zijn voor het signaleren, registreren en afhandelen van incidenten.
Leveranciersbeheer
Ook risico’s binnen de keten verdienen aandacht.
Continuïteit
Organisaties moeten voorbereid zijn op verstoringen en uitval van systemen.
Governance
Bestuurders krijgen een nadrukkelijke verantwoordelijkheid voor informatiebeveiliging en risicobeheersing.
NIS2 vraagt om meer dan techniek
Veel organisaties denken bij NIS2 direct aan technische beveiligingsmaatregelen.
In de praktijk vraagt de richtlijn om een organisatiebrede aanpak.
Digitale weerbaarheid ontstaat door de samenwerking tussen:
- bestuur;
- informatiebeveiliging;
- privacy;
- compliance;
- HR;
- juridische zaken;
- communicatie;
- medewerkers.
Informatiebeveiliging raakt immers processen, mensen en techniek.
De rol van bewustwording en training
Veel cyberincidenten ontstaan door menselijk handelen. Een phishingmail wordt geopend. Een schadelijke link wordt aangeklikt. Vertrouwelijke informatie wordt onbedoeld gedeeld. Daarom investeren steeds meer organisaties in:
- security awareness;
- privacybewustzijn;
- phishingtrainingen;
- AI-geletterdheid;
- informatiebeveiligingsopleidingen.
Ook bestuurders en leidinggevenden spelen hierin een belangrijke rol. Zij zijn verantwoordelijk voor besluitvorming, prioriteiten en risicobeheersing.
Wanneer medewerkers én bestuurders risico’s herkennen en weten hoe zij moeten handelen, neemt de digitale weerbaarheid van de organisatie toe.
Hoe bereid je jouw organisatie voor op NIS2?
Een goede voorbereiding begint vaak met een eerste inventarisatie.
Stap 1: Bepaal of NIS2 van toepassing kan zijn
Breng sector, omvang en activiteiten in kaart.
Stap 2: Voer een nulmeting uit
Onderzoek welke maatregelen al aanwezig zijn.
Stap 3: Breng risico’s in beeld
Voer risicoanalyses uit en documenteer de uitkomsten.
Stap 4: Versterk governance
Leg verantwoordelijkheden vast en betrek bestuurders actief.
Stap 5: Investeer in bewustwording
Zorg dat medewerkers, management en bestuurders voldoende kennis hebben van cyberrisico’s en informatiebeveiliging.
Conclusie
De NIS2-richtlijn heeft invloed op meer organisaties dan vaak wordt gedacht. Daarom is het belangrijk om tijdig vast te stellen of de richtlijn van toepassing is op jouw organisatie.
Een goede voorbereiding gaat verder dan techniek alleen. Governance, risicobeheersing, informatiebeveiliging en bewustwording vormen samen de basis voor een digitaal weerbare organisatie.
Door tijdig inzicht te krijgen in de eigen situatie kunnen organisaties gerichte stappen zetten richting naleving van de NIS2-verplichtingen en het versterken van hun digitale weerbaarheid.
