In een tijd waarin ransomware-aanvallen bijna dagelijks voorkomen en de dreiging van cyberaanvallen toeneemt, staat de veiligheid van onze maatschappij en economie steeds meer onder druk. Digitale afpersing, waarbij criminelen gevoelige gegevens gijzelen en losgeld eisen, is een groeiende bedreiging die bedrijven en organisaties dwingt om hun beveiligingsmaatregelen te versterken. Daarom is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. In Nederland wordt dit jaar de nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging, NIS2 geïmplementeerd. Deze nieuwe richtlijn verplicht organisaties om hun cybersecurity te verbeteren en de veiligheid van netwerken en infrastructuur te versterken. Wat betekent dat voor MKB-bedrijven? Bij Beheerd.nl zoeken we dat voor je uit! 

Wat is NIS2? 

NIS2, de opvolger van de NIS-richtlijn, is bedoeld om de cybersecurity van bedrijven te versterken. Denk aan sectoren die van vitaal belang zijn zoals gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders. In Europa is sinds 14 december 2022 de nieuwe cyberrichtlijn van kracht, wat betekent dat de lidstaten zelf de wetgeving moeten omzetten om aan deze richtlijn te voldoen. De NIS2-richtlijn wordt op dit moment omgezet in Nederlandse wetgeving en heeft twee doelen: Europese samenwerking verbeteren en bedrijven helpen bij het verbeteren van hun cybersecurity. In tegenstelling tot de eerste richtlijn zal NIS2 een bredere groep organisaties beïnvloeden.   

Welke sectoren vallen onder de NIS2-richtlijn? 

De NIS2-richtlijn is van toepassing op sectoren die al onder de eerste NIS-richtlijn vallen, samen met enkele nieuwe sectoren. Hierdoor neemt het aantal publieke en private organisaties dat onder de richtlijn valt toe. 

De sectoren die onder de tweede NIS-richtlijn vallen, zijn: Energie, Transport, Bankwezen, Infrastructuur Financiële Markt, Gezondheidszorg, Drinkwater, Digitale infrastructuur, Beheerders van ICT-diensten, Afvalwater, Overheidsdiensten, Ruimtevaart, Digitale aanbieders, Post- en koeriersdiensten, Afvalstoffenbeheer, Levensmiddelen, Chemische stoffen, Onderzoek, Vervaardiging / manufacturing. 

Op wie is NIS2 van toepassing? 

De richtlijn geldt voor organisaties in essentiële en belangrijke sectoren, zolang ze minimaal 50 werknemers hebben of een jaarlijkse omzet/balans van ten minste 10 miljoen. Er zijn ook specifieke gevallen waarin de grootte van de organisatie niet telt. Het is belangrijk om vroeg te bepalen of je bedrijf onder de NIS2-richtlijn valt en mogelijk als essentiële entiteit of belangrijke entiteit wordt beschouwd. 

• Grote organisaties: zijn bedrijven met minimaal 250 werknemers of een netto omzet van meer dan 50 miljoen en een balanstotaal van 43 miljoen die in bepaalde sectoren vallen. Deze bedrijven worden proactief gemonitord door toezichthoudende instanties. 
• Middelgrote organisaties: deze hebben minimaal 50 werknemers en een jaaromzet meer dan 10 miljoen die in bepaalde sectoren vallen. Deze bedrijven kunnen periodiek een audit verwachten. 
• Micro- en kleine bedrijven: Organisaties die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken/diensten. Deze bedrijven vallen ook direct onder de NIS2-richtlijn. 

Als je een micro- of kleinbedrijf bent en niet actief bent in de bovengenoemde voorbeelden, val je in principe niet onder de NIS2-richtlijn. Toch kan de verantwoordelijke minister van een bepaalde sector ervoor kiezen om je aan te wijzen op basis van een risicobeoordeling. Dit gebeurt bijvoorbeeld als jouw dienstverlening cruciaal is voor de Nederlandse economie of maatschappij. In dit geval word je hierover geïnformeerd door het desbetreffende ministerie.  

Ik ben een MKB-bedrijf. Geldt de NIS2 dan ook voor mij? 

De NIS2-richtlijn is hoofdzakelijk gericht op essentiële en belangrijke entiteiten, maar geldt ook voor MKB-bedrijven in 18 sectoren met een omzet van >10 miljoen of meer dan 50 medewerkers die zijn aangewezen door de overheid. Daarnaast moeten directe toeleveranciers (MKB-bedrijven) van NIS2 bedrijven ook meewerken aan beveiliging van de toeleveringsketen door samenwerking met hun grote klanten. Dit betekent dat zij aan de regels van de richtlijn moeten voldoen om de informatiesystemen van hun klanten te beveiligen. Als zij niet aan deze eisen voldoen, kunnen zij verantwoordelijk worden gehouden na een risicobeoordeling. Klanten kunnen dan contractuele voorwaarden opleggen aan hun leveranciers op het gebied van ICT en cybersecurity om ervoor te zorgen zij aan de NIS2-richtlijn voldoen. De Rijksinspectie Digitale Infrastructuur (RDI) heeft een NIS2-zelfevaluatie ontwikkeld waarmee je kunt beoordelen of je onder de NIS2-richtlijn valt.  

Waarom is voldoen aan NIS2 zo belangrijk? 

De toenemende afhankelijkheid van IT in onze samenleving heeft een update van de oorspronkelijke NIS-richtlijn noodzakelijk gemaakt. De NIS2-richtlijn heeft als doel de cybersecurity binnen de EU te verbeteren en bedrijven en organisaties ertoe te brengen bewuster om te gaan met hun IT-systemen – iets wat vaak over het hoofd wordt gezien. Deze richtlijn is van toepassing op een bredere reeks sectoren en legt duidelijkere en strengere verplichtingen op.  

NIS2 verplicht organisaties om diverse beveiligingsmaatregelen implementeren en rapporteren, waaronder: 

• Risicobeoordeling: De NIS2-richtlijn vereist dat organisaties zelf een grondige risicobeoordeling uitvoeren. Beheerd.nl kan je hierbij ondersteunen door potentiële bedreigingen en zwakke punten in je systemen te identificeren, waardoor je gerichte maatregelen kunt nemen om deze risico’s te verminderen. Door deze periodieke controles zorg je ervoor dat je altijd op de hoogte bent van de actuele status van je ICT-beveiliging en dat je snel kunt reageren op nieuwe bedreigingen. 
• Registratieplicht: Organisaties die onder de NIS2-richtlijn vallen, moeten zich verplicht laten registreren. Dit registratieproces creëert een overzicht van alle entiteiten dat onder de NIS2 valt op Europees niveau. Beheerd.nl kan helpen bij dit registratieproces, waardoor je een beter inzicht krijgt in de naleving van de richtlijn en de bredere context van cybersecurity in Europa. 
• Meldplicht: Organisaties moeten incidenten binnen 24 uur melden bij de toezichthouder als deze de essentiële dienst significant kunnen verstoren. Bij een cyberincident moet ook het Computer Security Incident Response Team (CSIRT) worden ingelicht voor hulp en bijstand. Factoren zoals het aantal getroffen personen, de duur van de verstoring en financiële verliezen bepalen of een incident gemeld moet worden. Beheerd.nl kan je ondersteunen bij het voldoen aan de meldplicht. Met onze hulp kun je snel reageren op cyberincidenten en de impact ervan minimaliseren. 
• Toezicht: Organisaties die onder de richtlijn vallen, worden gecontroleerd op de naleving van verplichtingen zoals de zorg- en meldplicht. Dit stimuleert hen aan om actief te zijn in het handhaven van cybersecurity-standaarden en om mogelijke nalevingsproblemen aan te pakken voordat ze ernstig worden. Beheerd.nl kan ondersteunen bij het proactief handhaven van cybersecurity-standaarden en het aanpakken van nalevingskwesties voordat ze problematisch worden. 

Hulp nodig bij NIS2? 

Het voldoen aan de NIS2-richtlijn is belangrijk voor de beveilig van je netwerk- en informatiesysteem. Door nu alvast de nodige stappen te zetten, kun je je goed voorbereiden. Hier zijn enkele acties die je kunt ondernemen: 

1. Evaluatie: Begin met een evaluatie van je huidige netwerk- en informatiesystemen. 

2. Basismaatregelen: Volg de basismaatregelen die door het Nationaal Cyber Security Centrum worden aanbevolen voor je organisatie. Zorg ervoor dat alle medewerkers op de hoogte zijn van dit beleid en organiseer regelmatig trainingen om ervoor te zorgen dat zij zich er consequent aan houden. 

3. Procedures: Stel procedures in voor het tijdig melden van eventuele cyberincidenten. 

We begrijpen dat het implementeren van de nieuwe NIS2-richtlijn een uitdaging kan zijn. Heb je hulp nodig bij NIS2 en wil je weten voor wie het van toepassing is? Neem dan contact op met Beheerd.nl. Wij helpen je graag met de implementatie van de nodige cybersecuritymaatregelen, het opstellen van rapportages en het trainen van je medewerkers. Wij zorgen ervoor dat je bedrijf tijdig en volledig NIS2-proof is.