NIS2: Wat is het en hoe krijgen grote en kleine bedrijven ermee te maken?

Wat is de NIS2-richtlijn? 

Om de NIS2-richtlijn beter te begrijpen, beginnen wij even bij het begin. De NIS2-richtlijn is een vervolg op de in 2016 ingevoerde Network- and information security-richtlijn (NIS). Dit was de eerste Europese wetgeving op het gebied van cyberveiligheid. Deze NIS stelt vooral strenge veiligheidseisen aan essentiële bedrijven. De reden hierachter was goede bescherming van digitale systemen en meer cyberweerbaarheid in alle Europese landen. 

Echter wil het Europees parlement cyberveiligheid nog verder aanscherpen en willen zij deze huidige richtlijnen uitbreiden. Daarom stemde het Europees parlement op 28 november 2022 in met de Network Information Systems Directive, oftewel de NIS2. De deadline voor implementatie is dus 17 oktober 2024 en dat betekent dat er dit jaar op cybergebied wat dingen gaan veranderen. 

Deze NIS2-richtlijn houdt namelijk in dat beveiligingseisen strenger worden, de beveiliging van toeleveringsketens moet worden aangepakt en er strengere toezichtmaatregelen en handhavingsvereisten van toepassing zullen zijn. 

Welke bedrijven krijgen hiermee te maken? 

Ook wordt met de NIS2-richtlijn het toepassingsgebied ten opzichte van de NIS groter. Dit betekent dat de nieuwe richtlijn van toepassing zal zijn op meer sectoren. Dit zijn alle middelgrote- en grote bedrijven die onder essentiële sectoren en belangrijke sectoren vallen.  

Voorbeelden van essentiële sectoren zijn energie, beheer van ICT-diensten en gezondheidszorg. Bij belangrijke sectoren kunt u denken aan de levensmiddelensector, digitale dienstverlening en post- en koeriersdiensten. 

Ondanks dat dezelfde eisen qua cyberveiligheid en rapportage van toepassing zijn op essentiële en belangrijke sectoren, zal er zwaarder toezicht zijn op bedrijven die onder de essentiële sector vallen. Dit is om proactief incidenten te voorkomen. Bij belangrijke sectoren zal de monitoring pas na het voorvallen van een incidenten plaatsvinden. 

De NIS2 is dus gefocust op de gehele toeleveringsketen. Dit betekent dat ook partijen die zakendoen met zogenaamde essentiële bedrijven met de richtlijn te maken krijgen. Dit kunnen dus ook kleine bedrijven zijn. Bent u bijvoorbeeld directeur van een klein bedrijf dat bepaald materiaal levert aan een ziekenhuis of huisartsenpost? Ook dan krijgt u met deze richtlijnen te maken. 

Wat komt er kijken bij de NIS2? 

Als uw bedrijf binnen deze keten valt, dan heeft u een zorgplicht. Dit houdt in dat u een risicobeoordeling moet uitvoeren en aan de hand van deze de benodigde veiligheidsmaatregelen moet nemen om digitale veiligheid van uw bedrijf te waarborgen. 

Verder heeft u ook een meldplicht. U bent verplicht om veiligheidsincidenten met betrekking tot uw digitale dienstverlening binnen 24 uur te rapporteren bij een toezichthouder. Daarnaast moeten cyberincidenten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Zij zullen u en uw bedrijf verdere hulp bieden. 

Tip: vergeet niet dat deze regels niet alleen van toepassing zijn op kantoren, maar ook voor bedrijf gerelateerde veiligheid buiten kantoor, zoals bij u thuis. Wordt uw wifi-netwerk thuis gehackt en maakte u hier gebruik van met uw zakelijke laptop? Ook dat moet dus gemeld worden. 

Uw data beschermen? Neem een cyberverzekering! 

Wilt u met al deze nieuwe richtlijnen weten hoe u de data van uw onderneming beschermt? Dit kan door middel van een cyberverzekering. Hiermee bent u gedekt voor alle ICT-risico's die kunnen leiden tot een datalek, van menselijke fouten tot aan hackers. Een cyberverzekering dekt onder andere reconstructiekosten, bedrijfsschade, maar ook de kosten van technische en juridische ondersteuning.  

Heeft u vragen over een cyberverzekering? Dan helpen wij u graag! U kunt ons telefonisch bereiken via 0299-393322 of per e-mail via info@heeres.nl en dan kijken wij samen naar de beste oplossing voor uw situatie.