NIS2

Europese en nationale wetgeving inzake de cyber veiligheid van organisaties

De nieuwe Europese richtlijn Network and Information Security Directive 2 (NIS2) moet al in oktober 2024 van kracht worden in Nederlandse wetgeving. Voor NIS1 is dat momenteel al de Wet Beveiliging Netwerk en Informatiesystemen (WBNI). De nieuwe richtlijn stelt flinke eisen aan het cybersecurity niveau van organisaties in diverse maatschappelijke sectoren die als essentieel of belangrijk worden gekenmerkt.

Deze verplichte, risico gebaseerde, cybersecurity maatregelen kunnen effectief bijdragen aan een beter beveiligingsniveau en veel elementen zullen nu al een onderdeel van het cybersecurity beleid van de organisaties zijn. Echter zal het niet naleven van deze verplichte maatregelen kunnen leiden tot aanzienlijke boetes.

BDO heeft een NIS2-beoordelingsinstrument ontwikkeld, waarmee u direct inzicht kunt krijgen in uw huidige situatie. U kunt toegang krijgen tot dit instrument via de knop hieronder.

NIS2 Analyzer

HoE HET WERKT

NIS2 IN HET KORT:

Omdat NIS2 niet voor iedereen even toegankelijk is, bieden we hier een beknopt overzicht van deze Europese Richtlijn voor Netwerk- en Informatiebeveiliging. In dit artikel leggen we de essentie uit en vertellen we voor wie het van belang is. Ontdek de vereisten en best practices voor naleving van NIS2.

Hoe staat u ervoor?

Om ervoor te zorgen dat uw organisatie tijdig klaar is voor deze wettelijke cybersecurity vereisten is het zaak nu met de juiste voorbereidingen te beginnen. Ondanks dat de vereisten nog niet zijn geformaliseerd in nationale wetgeving is wel duidelijk welke richting het op gaat en zijn de parallellen met bestaande raamwerken en good practices zoals ISO 27001 duidelijk.

Doe nu de NIS2-analyse en krijg een eerste beeld van waar u nu staat.

NIS2 Analyzer

Wat?

De NIS2 stelt beveiligingseisen die gegroepeerd zijn onder zorgplicht, meldplicht en toezicht en zijn al relatief concreet nog voordat ze in nationale wetgeving zijn vastgelegd. Hierbij vallen onder meer de concrete lijsten met maatregelen uit artikel 21 en de significante geldboeten uit artikel 34 lid 4 op. Lees meer in de richtlijn: EUR-Lex – 32022L2555 (europa.eu). Daarnaast is er nog een aantal andere opvallende elementen zoals veiligheid in de leveranciersketen, bestuursaansprakelijkheid en opleidingsplicht.

Voor Wie?

Organisaties die onder de nieuwe Europese richtlijn Network and Information Security Directive 2 (NIS2) zullen vallen, zijn onder andere energiebedrijven, luchtvaartmaatschappijen, waterbedrijven, digitale dienstverleners, overheidsinstanties en hun toeleveranciers. Om te checken of uw organisatie onder deze richtlijn valt, heeft de Rijksoverheid een zelfevaluatie vragenlijst uitgebracht. Deze vragenlijst is te vinden op  NIS2 Zelfevaluatie NL. Op samendigitaalveilig.nl vindt u meer informatie hierover. Als u nog vragen heeft, neem dan gerust contact op voor deskundig advies en ondersteuning.

Welke entiteiten?

De NIS2-richtlijn is gericht op meer soorten bedrijven en organisaties dan de eerste NIS-richtlijn. Dit betekent dat er nu meer publieke en private organisaties zijn die zich aan de regels moeten houden.

De organisaties die nu onder de tweede NIS-richtlijn vallen, omvatten onder andere:

Sectoren bijlage 1 Sectoren bijlage 2
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Essentiële entiteiten 

Dat zijn grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel) 

Een organisatie is groot op basis van de volgende criteria: 

  • minimaal 250 werknemers of; 
  • een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen. 

Belangrijke entiteiten 

Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II. 

Een organisatie is middelgroot op basis van de volgende criteria: 

  • minimaal 50 werknemers of; 
  • een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Onze diensten

Wij kunnen uw organisatie met verscheidene diensten ondersteuning bieden in het behalen en behouden van NIS2 conformiteit en de hiervoor benodigde cybersecurity maatregelen.

Assess & Assure

Hoe weerbaar bent u tegen cyberincidenten?

Consult & Implement

Het verbeteren van uw cyberweerbaarheid.

Continuous security

24/7 weerbaar en veilig blijven.

Neem contact met ons op!

© 2024 BDO Canada LLP

Privacy & Cookie Policy