NIS2: Wat betekent de nieuwe richtlijn voor uw organisatie?

De Network and Information Security Directive 2 (NIS2) is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. Deze Europese richtlijn stelt aanzienlijk strengere eisen aan de cyberbeveiliging van organisaties in essentiële en belangrijke sectoren. De richtlijn moest uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet, al loopt de Nederlandse implementatie via de Cyberbeveiligingswet nog.

Welke organisaties vallen onder NIS2?

NIS2 breidt het toepassingsgebied aanzienlijk uit ten opzichte van de oorspronkelijke richtlijn. De richtlijn maakt onderscheid tussen essentiële entiteiten (zoals energie, transport, gezondheidszorg, drinkwater en digitale infrastructuur) en belangrijke entiteiten (zoals post, afvalbeheer, chemie, voedsel en maakindustrie).

Over het algemeen geldt NIS2 voor middelgrote en grote organisaties in deze sectoren. Middelgroot betekent minimaal 50 werknemers of een jaaromzet van meer dan €10 miljoen. Sommige organisaties vallen ongeacht hun omvang onder de richtlijn, zoals DNS-dienstverleners en aanbieders van vertrouwensdiensten.

De belangrijkste verplichtingen

• •Risicobeheermaatregelen: organisaties moeten passende technische, operationele en organisatorische maatregelen nemen om cyberbeveiligingsrisico's te beheersen.
• •Incidentmelding: significante incidenten moeten binnen 24 uur worden gemeld bij de bevoegde autoriteit, gevolgd door een volledig rapport binnen 72 uur.
• •Supply chain security: organisaties moeten de cyberbeveiligingsrisico's in hun toeleveringsketen beoordelen en beheersen.
• •Bestuurlijke verantwoordelijkheid: bestuurders worden persoonlijk verantwoordelijk gehouden voor de naleving van cyberbeveiligingsverplichtingen.

Sancties bij niet-naleving

De sancties onder NIS2 zijn aanzienlijk. Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet (de hoogste van de twee). Voor belangrijke entiteiten geldt een maximum van €7 miljoen of 1,4% van de jaaromzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld.

Hoe bereidt u zich voor?

Begin met een gap-analyse om te bepalen waar uw organisatie staat ten opzichte van de NIS2-vereisten. Een ervaren IT-auditor kan u helpen bij het identificeren van tekortkomingen en het opstellen van een roadmap naar compliance. Op IT-Audit Directory kunt u gespecialiseerde NIS2-auditors vergelijken en direct contact opnemen.