Terug naar overzicht

Uitleg NIS2

NIS2 is een Europese richtlijn op het gebied van cybersecurity. Dat betekent dat de Europese Unie de doelen en regels vastlegt, maar dat ieder EU-land zelf verantwoordelijk is om deze regels om te zetten in nationale wetgeving.

De richtlijn heeft als doel om organisaties die een belangrijke rol spelen in de samenleving beter te beschermen tegen digitale risico’s, zoals cyberaanvallen, storingen en datalekken. NIS2 staat voor Network and Information Security Directive 2. De richtlijn verplicht lidstaten om maatregelen te nemen voor een betere beveiliging van digitale netwerken en informatiesystemen.

Waarom is NIS2 nodig?

Digitalisering zit diep verweven in onze Europese samenleving. Het is niet meer weg te denken en wordt gebruikt in tal van organisaties en sectoren. Een hack of uitval van een digitaal systeem kan enorme gevolgen hebben voor de samenleving. Denk aan uitval van vitale voorzieningen zoals de energievoorziening, transport of gezondheidszorg. Daarom heeft de EU richtlijnen opgesteld voor een minimum niveau van cyberveiligheid voor belangrijke organisaties; de NIS2.

Voor wie geldt NIS2?

De richtlijn geldt voor organisaties in kritieke en belangrijke sectoren, bijvoorbeeld energie en water, transport, gezondheidszorg, industrie en banken. Meestal gaat het om middelgrote en grote organisaties (bijv. >50 medewerkers of >€10 miljoen omzet).

Ook organisaties die zelf niet direct onder NIS2 vallen kunnen ermee te maken krijgen. Bedrijven die leveren aan organisaties die onder de richtlijn vallen, krijgen namelijk vaker te maken met eisen rondom cybersecurity en dataveiligheid. Hierdoor wordt digitale veiligheid steeds vaker een onderwerp in contracten, projecten en samenwerkingen. Denk bijvoorbeeld aan een installateur. Deze werkt voor verschillende sectoren. De opdrachtgever moet zich houden aan de NIS2 en kan harde eisen stellen aan de installateur. Bijvoorbeeld:

  • Werken volgens bepaalde cybersecurityrichtlijnen
  • Veilig omgaan met digitale systemen of software
  • Eisen aan toegang tot netwerken of installaties
  • Procedures voor incidentmelding

Wat beschrijft NIS2?

Organisaties die onder de NIS2-richtlijn vallen, moeten verschillende maatregelen nemen om hun digitale weerbaarheid te vergroten. Daarbij gaat het onder andere om:

  • Het beheersen van cyberrisico’s  Organisaties moeten beleid en procedures ontwikkelen om digitale risico’s te herkennen, te beperken en continu te monitoren.
  • Het melden van ernstige incidenten  Cyberaanvallen, grote storingen of andere beveiligingsincidenten moeten binnen vastgestelde termijnen worden gemeld bij de bevoegde autoriteiten.
  • Het treffen van technische en organisatorische beveiligingsmaatregelen  Dit geldt niet alleen voor de eigen systemen, maar ook voor de digitale veiligheid binnen de toeleveringsketen, bijvoorbeeld bij leveranciers en partners.
  • Bestuurlijke verantwoordelijkheid voor cybersecurity  Het management of bestuur van een organisatie is verantwoordelijk voor het nemen van passende maatregelen en het toezicht op de digitale veiligheid.

Daarnaast houden nationale toezichthouders toezicht op de naleving van deze regels. Wanneer organisaties niet voldoen aan de verplichtingen, kunnen er handhavingsmaatregelen of boetes volgen.

Cyberbeveiligingswet

In Nederland valt NIS2 onder de Cyberbeveiligingswet. Deze wet wordt gecoördineerd door de Rijksinspectie Digitale Infrastructuur (RDI). Het toezicht ligt op sectoraal niveau. In de Transport en Infrastructuur is dat de Inspectie Leefomgeving en Transport (ILT) en voor financiële instellingen is het De Nederlandsche Bank (DNB).