Is jouw organisatie klaar voor NIS2?

Ontdek snel of jouw organisatie voldoet aan de NIS2-wetgeving en of deze wordt geclassificeerd als ‘essentieel’ of ‘belangrijk’ volgens de richtlijn met onze zelfevaluatie. Bereid je voor op deze nieuwe wetgeving en doe nu de gratis NIS2-check.

Doe de NIS2 Check

Bestel

Over NIS2

De nieuwe wet voor digitale veiligheid

Is jouw organisatie klaar voor NIS2? Met de Network and Information Security directive (NIS2-richtlijn) heeft de Europese Unie een krachtig middel ontwikkeld om de cyberbeveiliging binnen de EU te versterken en aan te passen aan nieuwe digitale uitdagingen. Deze richtlijn moet de digitale en economische veerkracht van Europese lidstaten vergroten met strengere beveiligingseisen en rapportageverplichtingen. NIS2 helpt organisaties om hun systemen te beschermen tegen steeds geavanceerdere cyberdreigingen.

Met de uitbreiding naar digitale dienstverleners en striktere eisen voor incidentrapportage, vertegenwoordigt NIS2 een belangrijke ontwikkeling in de cyberbeveiligingsregelgeving binnen de EU. Naleving ervan is een noodzakelijke stap om jouw organisatie te beschermen tegen ernstige cyberaanvallen en hoge boetes.

De overheid werkt hard aan de wetgeving voor NIS2. Het streven is dat dit najaar het wetsvoorstel wordt ingediend en dat de NIS2 eind 2024 wordt geïmplementeerd in de Nederlandse wet. Bereid je voor op deze nieuwe wetgeving. Neem vandaag nog de eerste stap naar een veiligere toekomst.

Vereisten

Wat zijn de NIS2-vereisten en procedures?

Risicobeheer

NIS2 verplicht organisaties tot het nemen van maatregelen om cyberrisico’s te verminderen. Denk hierbij aan incidentmanagement, beveiliging van de toeleveringsketen, netwerkbeveiliging, toegangscontrole en encryptie.

Bedrijfsverantwoordelijkheid

Bedrijfsmanagement is verantwoordelijk voor het toezicht op en de goedkeuring van cybersecuritymaatregelen volgens NIS2. Schendingen kunnen leiden tot sancties, zoals aansprakelijkheid en tijdelijke uitsluiting van managementfuncties.

Rapportageverplichtingen

Essentiële en belangrijke entiteiten moeten procedures hebben voor het tijdig melden van beveiligingsincidenten met aanzienlijke impact op hun dienstverlening of die van ontvangers. NIS2 legt hierbij ook specifieke meldingsdeadlines op, waaronder een ‘vroege waarschuwing’ binnen 24 uur.

Bedrijfscontinuïteit

Organisaties moeten een plan hebben om in het geval van grote cyberincidenten de bedrijfscontinuïteit te waarborgen, inclusief systeemherstel, noodprocedures en crisisteams.

Basisbeveiligingsmaatregelen

Naast de vier eerdergenoemde vereisten, verplicht NIS2 essentiële en belangrijke entiteiten om basisbeveiligingsmaatregelen te implementeren tegen mogelijke cyberdreigingen.

Valt jouw organisatie onder de NIS2-richtlijn?

Doe de NIS2 check

Tijdlijn

Bereid jouw organisatie voor op NIS2

De deadline nadert snel – volgend jaar moeten bedrijven voldoen aan NIS2. Begin op tijd en zet de eerste stap. Controleer nu of jouw organisatie aan de NIS2-wetgeving moet voldoen.

Doe de NIS2 check

Voorbereiding

Verdiep je in de NIS2-richtlijn. Begrijp de specifieke vereisten en toepassingsgebieden die voor jouw organisatie van belang zijn.

Risicoanalyse

Evalueer de risico’s voor jouw netwerk en informatiesystemen. Identificeer mogelijke kwetsbaarheden, bedreigingen en zwakke plekken.

Beveiligingsmaatregelen

Neem specifieke maatregelen om jouw cyberbeveiliging te versterken. Denk aan Incident Response-plannen, bedrijfscontinuïteit en basispraktijken voor cyberhygiëne.

Beveiliging van de toeleveringsketen

Besteed specifieke aandacht aan de beveiliging van leveranciers en dienstverleners. Dit helpt bij het minimaliseren van risico’s.

Controle en evaluatie

Met behulp van deze NIS2-zelfevaluatie tool kan gecontroleerd worden of jouw organisatie aan de NIS2 vereisten voldoet. Daarnaast kunnen (interne) audits van belang zijn, zoals bij essentiële organisaties. Ook kan de dienstverlening veranderen en is het goed te blijven controleren of jouw organisatie voldoet aan de NIS2-richtlijn

Over ons

Onze expertise voor NIS2-implementatie

In een wereld waar cyberveiligheid steeds kritischer wordt, is het van vitaal belang om de juiste stappen te zetten op zowel technisch als juridisch gebied. Daarom bundelen Fellowmind en Louise de Gier van BOLT advocaten hun krachten om organisaties voor te bereiden op NIS2 en hen te ondersteunen bij de implementatie.

Uitstekende juridische diensten met een “can do” en “no nonsense” karakter.

BOLT de Gier
Louise de Gier
+31 6 55783344
www.boltlaw.nl
degier@boltlaw.nl

Creating value through digital customer service and connected operations.

Fellowmind
+31 88 424 2828
www.fellowmind.nl
info@fellowmind.nl

Veelgestelde vragen

Ontdek hier antwoorden op de meest gestelde vragen over NIS2.

Wat is het doel van de NIS2-richtlijn?

Enkele van de belangrijkste doelstellingen zijn:

Verbetering van de cybersecurity
NIS2 heeft tot doel de cybersecuritypraktijken binnen EU-lidstaten te verbeteren door middel van consistente maatregelen en richtlijnen.
Versterking van de weerbaarheid tegen cyberdreigingen
De richtlijn streeft naar het vergroten van de weerbaarheid van kritieke infrastructuur en digitale dienstverleners tegen cyberaanvallen en -storingen.
Bescherming van zeer kritieke sectoren
NIS2 beoogt de bescherming van zeer kritieke sectoren zoals energie, transport, gezondheidszorg en digitale infrastructuur te waarborgen.
Bescherming van andere kritieke sectoren
NIS2 beoogt de bescherming van andere kritieke sectoren zoals afvalstoffenbeheer, levensmiddelen, fabrikanten en digitale aanbieders te waarborgen.
Beter beheer van cybersecurityincidenten
De richtlijn stelt vereisten vast voor het melden en beheren van cybersecurityincidenten, waardoor snelle reactie en herstel mogelijk wordt.
Bevordering van samenwerking tussen lidstaten
NIS2 beoogt de samenwerking en uitwisseling van informatie tussen EU-lidstaten te versterken om gezamenlijk cyberdreigingen aan te pakken en veerkracht op te bouwen.
Beter bewustzijn en betrokkenheid van belanghebbenden
De richtlijn moedigt bewustwording en betrokkenheid van zowel publieke als private belanghebbenden aan bij het verbeteren van cybersecurity en het versterken van digitale veerkracht.

Welke organisaties vallen onder de NIS2-richtlijn?

NIS2 richt zich op organisaties in specifieke sectoren, met ‘essentiële’ of ‘belangrijke’ status.

Essentiële entiteiten

Zeer kritieke sectoren in bijlage I van de NIS2-richtlijn, met minstens 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten

Zeer kritieke organisaties in bijlage I en andere kritieke sectoren in bijlage II van de NIS2-richtlijn, met minstens 50 werknemers of een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Hoewel micro- en kleinbedrijven meestal niet onder NIS2 vallen, kunnen ze door de minister toch aangewezen worden na een risicobeoordeling, vooral als hun diensten cruciaal zijn voor de Nederlandse economie of samenleving. Micro- en kleinbedrijven die actief zijn in specifieke diensten, zoals vertrouwensdiensten, vallen wel direct onder de NIS2-richtlijn.

Sectoren bijlage 1. Zeer kritieke sectoren	Sectoren bijlage 2. Andere kritieke sectoren
Energie	Digitale aanbieders
Transport	Post- en koeriersdiensten
Infrastructuur financiële markt	Afvalstoffenbeheer
Gezondheidszorg	Levensmiddelen
Drinkwater	Chemische stoffen
Digitale infrastructuur	Onderzoek
Afvalwater	Vervaardiging/manufacturing
Overheidsdiensten
Ruimtevaart
Beheerders van ICT Diensten (business-to-business)
Bankwezen

Welke verplichtingen hebben organisaties onder NIS2?

De NIS2-richtlijn legt verschillende verplichtingen op:

Zorgplicht
Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten en netwerk- en informatiesystemen te beschermen.
Meldplicht
Incidenten die een aanzienlijke impact hebben op de levering van de diensten van een organisatiemoeten binnen 24 uur worden gemeld bij de toezichthouder en bij het Computer Security Incident Response Team (CSIRT). Daarna moeten vervolgmeldingen plaatsvinden. De meldplicht bestaat uit 4 fases.
Registratieplicht
Organisaties onder de NIS2-richtlijn moeten zich registreren om een Europees overzicht te waarborgen. Momenteel wordt gewerkt aan een centraal registratiepunt.
Toezicht
Organisaties worden gecontroleerd op naleving van de richtlijn, met aandacht voor de zorg- en meldplicht. De toewijzing van sectoren aan verschillende toezichthouders is gaande, waarbij essentiële entiteiten onder proactief toezicht vallen en belangrijke entiteiten onder reactief toezicht. Ook verschillen de hoogte van de boetes.

Wanneer wordt NIS2 van kracht?

De Rijksoverheid werkt sinds januari 2023 aan de omzetting van de NIS2-richtlijn naar nationale wetgeving (Wet Beveiliging Netwerk – en Informatiesystemen, “Wbni”), een complex proces met grote impact op Nederlandse organisaties. Halverwege 2024 vindt de internetconsultatie plaats, waarin sectoren en organisaties kunnen reageren op de concept wetteksten. Na deze fase worden ontvangen reacties verwerkt en zal de NIS2 uiteindelijk geïmplementeerd worden in de Wbni. Het streven is dat dit najaar het wetsvoorstel wordt ingediend en dat NIS2 eind 2024 wordt geïmplementeerd in de Nederlandse wet.

Welke sancties zijn er voor niet-naleving van NIS2?

Niet voldoen aan de NIS2-richtlijn kan ernstige gevolgen hebben voor organisaties, zowel op juridisch als strategisch vlak:

Juridische gevolgen

Boetes
Niet naleven van de NIS2-richtlijn kan leiden tot aanzienlijke boetes.
- 10 miljoen euro of 2% van de jaaromzet.
- 7 miljoen Euro of 1,4% van de totale wereldwijde omzet bij belangrijke organisaties.
- o Andere sancties van de toezichthoudende autoriteiten, zoals inspecties, audits, schorsing van bestuursleden en publieke openbaarmakingen.
Wettelijke aansprakelijkheid
Organisaties kunnen juridisch aansprakelijk worden gesteld voor schade als een beveiligingsincident voorkomen had kunnen worden door de vereiste maatregelen te treffen.
Overige juridische gevolgen
Andere sancties van de toezichthoudende autoriteiten, zoals inspecties, audits, schorsing van bestuursleden en publieke openbaarmakingen.

Strategische gevolgen

Reputatieschade
Niet naleven van de NIS2-richtlijn kan leiden tot reputatieschade en het vertrouwen van klanten, partners en investeerders schaden, vooral na een cyberaanval.

Wat zijn de verschillen tussen NIS en NIS2?

De NIS2-richtlijn is de opvolger van de oorspronkelijke NIS-richtlijn en kent enkele belangrijke verschillen:

Uitgebreidere reikwijdte
NIS2 omvat meer sectoren dan de eerste richtlijn. Naast energie, drinkwater en banken vallen nu ook overheidsdiensten, levensmiddelen en managed service providers onder NIS2.
Strengere beveiligingsnormen en meldingsvereisten
NIS2 legt strengere beveiligingsnormen op aan organisaties en vereist dat zij risicobeoordelingen uitvoeren. Incidenten die de netwerk- en informatiesystemen bedreigen, moeten worden gemeld, wat zorgt voor een hoger niveau van cybersecurity bij organisaties.

Kortom, NIS2 heeft een bredere toepassing en stelt strengere eisen aan digitale veiligheid dan de oorspronkelijke NIS-richtlijn.

Wat zijn uitdagingen bij de implementatie van NIS2?

De belangrijkste uitdagingen bij het implementeren van NIS2 zijn:

Opleidingsverplichtingen
Leidinggevenden zijn verantwoordelijk voor het cyber management en moeten trainingen volgen. Organisaties moeten ook hun personeel informeren over de nieuwe eisen en procedures onder NIS2. Dit vereist training en educatie om ervoor te zorgen dat iedereen goed geïnformeerd is.
Proactieve maatregelen voor informatie- en cyberbeveiliging
Het implementeren van cybersecuritymaatregelen om te voldoen aan de NIS2-richtlijn vergt tijd en middelen. Dit omvat het ontwikkelen van beleid, het uitvoeren van risicoanalyses, contractenbeheer op orde hebben, de juiste verzekeringen afsluiten en het implementeren van technische oplossingen.
Incidentmeldingen
Organisaties moeten cyberincidenten rapporteren aan de juiste autoriteiten. Dit vereist een gestroomlijnd proces en bewustzijn binnen de organisatie.
Omgaan met toezicht
NIS2 betekent proactief en reactief toezicht door autoriteiten. Organisaties moeten zich voorbereiden op dit toezicht en ervoor zorgen dat ze aan de vereisten voldoen.

Hoe kan Fellowmind de implementatie van NIS2 ondersteunen?

Fellowmind en Louise de Gier van BOLT advocaten werken samen om organisaties te ondersteunen bij de invoering van NIS2. Gezamenlijk bieden we een brede ondersteuning op het gebied van cybersecurity en wetgeving.

Uitleg en advisering met betrekking tot technische maatregelen
Cybersecurity IT assessment van jouw organisatie zodat je weet waar de zwakke plekken zitten en wat daaraan gedaan kan worden
Diverse andere security packages
Advisering over de toepasselijkheid van de NIS2
Opstellen of ondersteuning van beleidsprotocollen zoals een incident response protocol
Ondersteuning bij het melden van incidenten en vertegenwoordiging bij de toezichthouder
Advies over contractuele verplichtingen en aansprakelijkheid van organisatie en bestuur
Beoordeling van verzekeringspolissen

Contact

Hoe kunnen we je helpen?

Stuur ons een bericht en we reageren zo snel mogelijk.

Contact een expert

Voornaam

Achternaam

E-mail

Organisatie

Mobiele telefoon

Bericht

Fellowmind

info@fellowmind.nl www.fellowmind.nl +31 88 424 2828

Louise de Gier

degier@boltlaw.nl www.boltlaw.nl +31 6 55 78 33 44