De NIS2-richtlijn is een EU-richtlijn die tot doel heeft een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie te creëren en vormt de opvolger van de NIS-richtlijn. Deze richtlijn is sinds januari 2023 van kracht en verplicht lidstaten om deze uiterlijk in oktober 2024 in hun nationale wetgeving te implementeren. Hierin moeten zorg- en meldplichten worden opgenomen waaraan zowel publieke als private organisaties in bepaalde sectoren moeten voldoen. Voor organisaties die als belangrijk en essentieel worden beschouwd, gelden strengere maatregelen op het gebied van informatiebeveiliging, het auditen van leveranciers en het melden van incidenten.

Belangrijk om te weten is dat, in tegenstelling tot de AVG waar handhaving plaatsvindt op basis van sancties na een incident, de NIS2-richtlijn een proactief sanctiebeleid voor “essentiële organisaties” hanteert. Dit betekent dat er proactief beleid wordt gevoerd met steekproefsgewijze controles.

Val ik onder de NIS2-richtlijn?

De oude NIS-richtlijn van 2016 richtte zich alleen op essentiële bedrijven voor de maatschappij, zoals de gezondheidszorg en de energiesector. De nieuwe NIS2-richtlijn is veel uitgebreider en omvat nu ook bedrijven die belangrijk zijn voor de maatschappij, zoals internetproviders, leveranciers van digitale services en overheidsinstanties. Daarnaast vallen automatisch middelgrote en grote bedrijven onder de NIS2-richtlijn, dat wil zeggen organisaties met meer dan 50 werknemers en/of een jaaromzet van meer dan 10 miljoen euro, zelfs als ze niet tot de belangrijke of essentiële bedrijven behoren.

In andere woorden, de NIS2 is altijd van toepassing op organisaties in deze categorieën, ongeacht hun omvang. Voor bedrijven die niet in deze categorieën vallen, geldt de NIS2 alleen als ze middelgroot of groot zijn.

Alle organisaties die onder de NIS2-richtlijn vallen, worden ingedeeld als ‘essentieel’ of ‘belangrijk’. Het verschil tussen de twee categorieën ligt in de manier van handhaving. Essentiële entiteiten worden zwaarder bestraft bij het niet naleven van de regels dan organisaties in de categorie ‘belangrijk’. Essentiële entiteiten zullen ook vooraf te maken krijgen met toezicht.

Let op: alle toeleveringsbedrijven van deze bedrijven moeten voldoen aan deze criteria. Voor IT-leveranciers geldt een bijzondere (verzwaarde) zorgplicht!

Kortom, zelfs als je niet behoort tot de essentiële of belangrijke bedrijven, kan het zijn dat je toch aan de NIS2 moet voldoen op verzoek van je klanten. Twijfel je of je onder de NIS2 valt, dan kun je hier een zelfevaluatie doen: NIS 2 Zelfevaluatie NL

Wat betekent de NIS2 dan voor mij?

Met de invoering van de NIS2 zullen organisaties meer inspanningen moeten leveren op het gebied van cybersecurity. Overheden zullen het management persoonlijk aansprakelijk kunnen stellen bij grove nalatigheid na een cyberincident. De maatregelen voor het beheer van cyberbeveiligingsrisico’s en de rapportageverplichtingen die in de richtlijn zijn vastgesteld, gelden voor alle bedrijven in de supply-chain van het desbetreffende bedrijf. De NIS2 is ook bedoeld om de veiligheid van toeleveringsketens te verbeteren door individuele bedrijven te verplichten cyberveiligheidsrisico’s in toeleveringsketens en leveranciersrelaties te beheersen.

De verplichtingen van de NIS2-richtlijn:

1. Zorgplicht: Entiteiten moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om de continuïteit van hun diensten te waarborgen en de gebruikte informatie te beschermen.
2. Registratieplicht: Entiteiten onder de NIS2-richtlijn zijn verplicht zich te registreren om een Europees breed beeld van het aantal entiteiten onder de NIS2 te creëren.
3. Meldplicht: Incidenten moeten binnen 24 uur worden gemeld aan de toezichthouder, met name incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT).
4. Toezicht: Organisaties onder de NIS2-richtlijn komen onder toezicht te staan om de naleving van verplichtingen, zoals de zorg- en meldplicht, te beoordelen. Momenteel wordt nog bepaald welke sectoren onder welke toezichthouder vallen.

Voorbeelden van IT-maatregelen die bedrijven onder de NIS2 moeten nemen, omvatten het waarborgen van de beveiliging van netwerk- en informatiesystemen, het implementeren van specifieke maatregelen voor systeembeveiliging (zoals MFA en back-ups), het opstellen van beleid en procedures voor de IT-omgeving (inclusief testen en audits), het hanteren van cryptografie en encryptie, en het verzorgen van cybersecurityopleidingen (awareness training) voor het bestuur van de organisatie.

Wat doet Bokxing IT voor mij?

Als bedrijf valt Bokxing IT onder de essentiële entiteiten en moet daarom voldoen aan de NIS2-richtlijnen. Gelukkig voldoet Bokxing IT al aan deze richtlijnen, mede dankzij de ISO 27001-certificering. Aangezien een groot deel van de klanten van Bokxing IT direct en/of indirect te maken zal krijgen met de NIS2, is het voor Bokxing IT van belang dat al haar klanten standaard voldoen aan de NIS2. De organisatie heeft een zorgplicht naar haar klanten en adviseert hen op dit gebied. In gevallen waar klanten ervoor kiezen om niet aan de NIS2 te voldoen, zal Bokxing IT adviseren welke maatregelen genomen dienen te worden. Als de klant besluit om deze maatregelen niet te implementeren, zal Bokxing IT vragen om een waiver (vrijstelling) te ondertekenen, omdat zij moeten aantonen dat zij het advies hebben gegeven om aan de NIS2 te voldoen. Als IT-dienstverlener kan Bokxing IT niet alle verantwoordelijkheid bij de klant wegnemen, en zij zullen zelf ook een aantal onderdelen van de NIS2 moeten oppakken.

Voor meer informatie of overleg staat Bokxing IT graag tot je beschikking.