De nieuwe NIS2-wet wordt in de zomer van 2024 in Nederland ingevoerd en heeft verstrekkende gevolgen voor veel organisaties. De Europese Unie wil met deze richtlijn de digitale weerbaarheid van Europa verbeteren. Minimaal elf sectoren moeten aan de nieuwe wetgeving voldoen. Dat brengt onder meer strengere beveiligings- en rapportage-vereisten met zich mee. Om je niet te laten verrassen, is het zaak om vroeg op de hoogte te zijn van de implicaties van NIS2. In deze blog leggen we uit wat de wet inhoudt en wat het voor organisaties betekent.
NIS2 is een vervolg op de NIS-wet uit 2016. NIS staat voor Network and Information Systems. In Nederland werd deze wetgeving geïntroduceerd in 2018 als de Wet beveiliging netwerk- en informatiesystemen.
De EU beschrijft NIS2 als volgt: ‘Measures for a high common level of cybersecurity across the European Union’. Dat betekent dat de unie met deze wetgeving de digitale weerbaarheid van Europa wil verbeteren. Om dat af te dwingen, zullen organisaties vanaf 2024 moeten voldoen aan strengere beveiligings- en rapportage-vereisten. De NIS2-regelgeving is op deze pagina in detail te vinden.
Denk bijvoorbeeld aan:
- het verplicht opvolgen van security-incidenten;
- beveiliging van netwerk- en informatiesystemen;
- het in acht nemen van basisregels voor cyber hygiëne;
- multifactor-authenticatie en beveiligde communicatie.
De bestaande NIS-wet is alleen van toepassing op zes kritieke sectoren: financiën, energie, water, zorg, transport en digitale infrastructuur. De implicaties van NIS2 zullen groter zijn, omdat de wet voor veel meer sectoren geldt. Dat zijn er minimaal elf: de richtlijn geldt niet alleen voor overheidsinstanties en essentiële bedrijven, maar ook voor belangrijke organisaties zoals postbezorging, fabrikanten van medische hulpmiddelen en bedrijven in de voedselindustrie.
Deze sectoren zijn door de EU bepaald. De Nederlandse overheid heeft de vrijheid om nog meer sectoren toe te voegen die aan NIS2 moeten voldoen; bijvoorbeeld omdat ze belangrijk zijn voor de Nederlandse samenleving.
De wet is alleen van toepassing op organisaties met meer dan vijftig medewerkers, en met een jaaromzet van meer dan tien miljoen euro. Toch kun je ook met NIS2 te maken krijgen als jouw organisatie niet onder de wetgeving valt. Ben je bijvoorbeeld toeleverancier van een organisatie die zich moet houden aan de richtlijn, dan kan er door bedrijven geëist worden dat je toch aan NIS2 voldoet.
De Nederlandse NIS2-wet wordt in de zomer van 2024 ingevoerd. Vanaf dat moment zullen organisaties die onder de wetgeving vallen, onder meer verplicht zijn om belangrijke veiligheidsincidenten binnen 24 uur te melden. Na 72 uur moeten ze ook een gedetailleerd assessment hebben uitgevoerd. Voor de AVG-wet is dit al een normale procedure, maar voor cybersecurity is dat niet het geval: organisaties staat het nu nog vrij om dit stil te houden.
Het niet naleven van de richtlijnen kan organisaties op forse boetes komen te staan: tien miljoen euro voor essentiële organisaties (of 2% van de jaaromzet) en zeven miljoen voor belangrijke bedrijven (of 1,4% van de jaaromzet). De wet zal onder meer gehandhaafd worden met steekproef-controles, audits, scans en aanvragen voor informatie. Daarnaast is de directeur van een organisatie niet alleen persoonlijk verantwoordelijk, maar ook persoonlijk aansprakelijk als er een incident plaatsvindt.
Om niet voor verrassingen te komen te staan, is het belangrijk om op tijd op een rij te zetten hoe jouw organisatie ervoor staat, en je te laten adviseren over de juiste maatregelen. Avit kan adviseren over de technische invulling van NIS2. Denk bijvoorbeeld aan de basisregels voor cyber hygiëne en de beveiliging van netwerk- en informatiesystemen.