Tijdens de internationale Cybersecurity Awareness Month wordt er, heel toepasselijk, een nieuwe regelgeving ingevoerd, de NIS2. Wat houdt deze regelgeving in? Voor wie gelden de richtlijnen? En wat moet je doen om eraan te voldoen? Daarover vertellen we je alles in dit artikel.
De NIS2-richtlijn volgt de NIS-richtlijn op. NIS staat voor Network and Information Security en is vastgesteld door de Europese Unie (EU). De richtlijn is bedoeld om organisaties in Europese lidstaten te helpen de digitale en economische weerbaarheid te vergroten en de gevolgen van cyberincidenten te beperken. Met de komst van de NIS2 wordt de reikwijdte van de NIS-richtlijn vergroot. Er vallen nu meerdere sectoren onder. Hierover later meer.
De NIS2 is ook onderdeel van de wet Baseline Informatiebeveiliging Overheid (BIO) 2.0. Meer over deze wet en wat de invloed is op de overheid lees je in onze BIO 2.0-blogserie.
De EU heeft afgesproken dat alle EU-landen een eigen vertaling maken van de NIS2 om organisaties ook op nationaal niveau de richtlijnen te laten naleven. De Cbw is een Nederlandse vertaling van de NIS2. De deadline voor deze nationale wetgeving is ook 17 oktober 2024. Nederland haalt die deadline niet, naar verwachting wordt begin 2025 de nieuwe Cyberbeveiligingswet (Cbw) van kracht.
De Cbw en NIS2 zijn dus in essentie hetzelfde.
De NIS2 schrijft drie verplichtingen voor: de zorgplicht, de meldplicht en een plicht om toezicht te houden. We lichten ze kort toe:
Wanneer de NIS2-richtlijnen niet worden nageleefd, vergroot dit de kans op cyberaanvallen. Cyberaanvallen kunnen financiële schade en verminderde productiviteit tot gevolg hebben. Een groter risico nog: het kan leiden tot ernstige risico's voor de maatschappij. Daarom is het zo belangrijk om de richtlijnen van de wet goed na te leven. Doet een organisatie dit niet, kan deze een flinke boete riskeren: maximaal 10 miljoen euro of 2% van de jaaromzet voor organisaties die een 'essentiële entiteit' zijn en maximaal 7 miljoen euro of 1,4% van de jaaromzet voor organisaties die een 'belangrijke entiteit' zijn. Over deze entiteiten leggen we hieronder meer uit.
Met de invoering van de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet, wordt de lijst met organisaties waarop de regels van toepassing zijn groter. In plaats van alleen 'kritieke sectoren' wordt er nu onderscheid gemaakt tussen ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’.
Om te weten of je organisatie onder de NIS2-richtlijn valt, moet je eerst dus bepalen of deze in een 'zeer kritieke sector' of 'andere kritieke sector' valt. Vervolgens kijk je hoe groot de organisatie is.
Wanneer bepaald is in welke sector je organisatie valt en hoe groot deze is, is er nog een derde categorie om de organisaties in toe te wijzen: ‘essentiële entiteit’ of ‘belangrijke entiteit’.
Er gelden een aantal uitzonderingen voor de sector Overheid. Alle overheidsorganisaties - groot, middelgroot, micro/klein - zijn standaard gelabeld als 'essentiële entiteit'. Dit zijn in elk geval ministeries, provincies, gemeenten en waterschappen. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen hangt het er per geval vanaf of deze als ‘essentiële entiteit’ wordt beschouwd.
Er zijn ook een aantal overheidsinstanties uitgesloten van het toepassen van de NIS2/Cbw. Het gaat hierbij om instanties die hoofdzakelijk werkzaam zijn op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Kortom, instanties die strafbare feiten voorkomen, onderzoeken, opsporen en vervolgen.
Wanneer je organisatie voorheen al onder de NIS-richtlijn viel, verandert er niet veel. Bedrijven en organisaties die nu wel onder de NIS2-richtlijn vallen, hebben met grotere veranderingen te maken. We hebben ze op een rijtje gezet in een handige checklist.