NIS2: hoe zat het ook alweer?
De vernieuwde Network and Information Security Directive (NIS2) is de nieuwe Europese cybersecurity wetgeving die als doel heeft om cyberveiligheid en weerbaarheid van bedrijven binnen de EU te verbeteren.
Met NIS2 moeten organisaties zich aan een aantal verplichtingen houden:
- Zorgplicht: je moet als organisatie passende maatregelen nemen om je systemen en gegevens te beveiligen.
- Meldplicht: ernstige incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder. Daarna moet er binnen 72 uur een eerste update volgen en uiteindelijk een volledig eindrapport binnen een maand.
- Toezicht: je moet als organisatie kunnen aantonen dat je maatregelen structureel op orde zijn, want er kunnen controles plaatsvinden.
Voor wie geldt NIS2?
De stamregel is dat NIS2 geldt voor bedrijven in kritieke sectoren én een bepaalde omvang hebben. Onder kritieke sectoren worden bedrijven verstaan waar de maatschappij niet zonder kan. Dus, als daar iets misgaat, dan heeft iedereen daar direct of indirect last van.
Hieronder staat een lijst met kritieke sectoren:
- Energie
- Transport
- Bankwezen
- Infrastructuur en financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging
Als je als organisatie werkzaam bent in één van deze kritieke sectoren, wordt er ook gekeken naar de grootte en omvang van je organisatie. Op basis van de grootte van je organisatie kan een beter stappenplan gemaakt worden om te voldoen aan de NIS2-wetgeving. Hiervoor zijn drie criteria:
Grootte bedrijven
Je organisatie valt onder grootte bedrijven wanneer:
- Er meer dan 250 medewerkers in dienst zijn of;
- Je organisatie een jaaromzet van meer dan 50 miljoen heeft en;
- Je organisatie een balanstotaal heeft van meer dan 43 miljoen.
Middelgrootte bedrijven
Je organisatie valt onder middelgrootte bedrijven wanneer:
- Er tussen de 50 en 249 medewerkers werkzaam zijn of;
- Je organisatie een jaaromzet heeft van meer dan 10 miljoen.
Micro/kleine bedrijven
Je organisatie valt onder micro/kleine bedrijven wanneer:
- Er minder dan 50 medewerkers werkzaam zijn of;
- Je organisatie een jaaromzet en balanstotaal heeft van minder dan 10 miljoen.
Micro/kleine bedrijven vallen meestal buiten de NIS2, tenzij ze een cruciale rol vervullen en door het ministerie zijn aangewezen.
Uitzonderingen voor NIS2
Uiteraard zijn er een aantal uitzonderingen van de NIS2-regels. Zo zijn de regels van omvang voor sommige bedrijven niet van toepassing, deze bedrijven vallen namelijk standaard onder de NIS2-wetgeving.
Deze organisaties vallen standaard onder de NIS2-wetgeving:
- Aanbieders van openbare elektronische communicatienetwerken en -diensten
- Aanbieders van vertrouwensdienstverleners
- Registers voor topleveldomeinnamen
- DNS-dienstverleners
- Verleners van domeinregistratiediensten
- Overheidsorganisaties
Voorbereiding op de NIS2-wetgeving
Om je als organisatie voor te bereiden op de nieuwe NIS2-wetgeving is het verstandig om alvast een aantal maatregelen te nemen waar je nu alvast mee aan de slag kan:
- Goede back-up- en herstelprocedures implementeren
- Monitoring en bescherming
- Bewustwording en training
- Duidelijke afspraken met IT-partners maken
Wil je meer weten over NIS2 en welke stappen je alvast kan zetten? Bekijk dan onze blog.