NIS2

Wat is NIS2?

NIS2 is een Europese richtlijn en staat voor Network- and Information Security 2. NIS2 is de opvolger van NIS uit 2016. Het is geen aanvulling op de oude NIS maar vervangt deze volledig. NIS2 heeft een verbeterde digitale en economische weerbaarheid tot doel.

Voor wie is NIS2 van toepassing?

Een belangrijk verschil tussen NIS en NIS2 is dat de richtlijn voor aanzienlijk meer sectoren gaat gelden. Tevens zal er onderscheid worden gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Hieronder een tabel met relevante sectoren.

Organisaties die middelgroot (minder dan 250 personen en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt) of groter zijn en actief in één van deze sectoren vallen onder de richtlijn.

De inhoud van NIS2

De in de richtlijn opgenomen eisen ten aanzien van te nemen maatregelen voor de mitigatie van cyberrisico’s zijn niet verschillend voor essentiële of belangrijke entiteiten; er is wel verschil in toezicht en sanctiebeleid. Sancties variëren van aanwijzingen en forse boetes tot het aansprakelijk stellen en schorsen van bestuurders. NIS2 is een richtlijn om serieus te nemen.

Er dienen onder meer maatregelen te worden genomen op het vlak van beleid inzake beveiliging van informatiesystemen, een incidentenprocedure; back-upbeheer en business continuïteitsplannen, beveiliging van de toeleveringsketen, etc.

Daarnaast wordt in de richtlijn uitdrukkelijk gewezen om bij het bepalen van de maatregelen ook rekening te houden met kwetsbaarheden van de leveranciers van de organisatie en van de leveranciers van de leveranciers. NIS2 zal hierdoor niet alleen impact hebben op de organisaties die direct onder de richtlijn vallen maar ook op toeleverende partijen.

Verder geldt er een grotere rol voor en verantwoordelijkheid van het bestuur. Zo dienen zij de cybersecurity-maatregelen goed te keuren en toe te zien op de uitvoering ervan. Tevens dienen zij verplicht training te volgen.

Naast het verplicht nemen van maatregelen geldt een meldingsplicht voor de organisaties bij significante incidenten die onder NIS2 vallen.

NIS2 implementatie

NIS2 geldt voor aanzienlijk meer organisaties dan een eerste indruk doet vermoeden; mede ook doordat entiteiten ook moeten toezien op de mate van beheersing van IT-security van hun leveranciers. Het is duidelijk dat NIS2 niet alleen een interne exercitie zal zijn. De in de richtlijn genoemde maatregelen zijn niet normerend geformuleerd zoals dat bij de DORA (Digital Operational Resilience Act) wel het geval is. Een gedegen risicoanalyse, goed normenkader en het nemen van passende maatregelen is geen abc-tje.

In ons recente blog vindt u meer gedetailleerde informatie over NIS2, of download ons gratis whitepaper voor verder uitgebreide inzichten.

De geboden ondersteuning vanuit ARC People

Onze klanten vragen ons om ondersteuning van seniore professionals met verstand van zaken en tegen een fair tarief. U kunt daarvoor de contactpersoon onderaan deze pagina contacten, of een vraag stellen aan onze ARC Interim Desk, die u binnen enkele dagen een beschikbare expert kan voordragen.

¹ N.B. NIS2 is een Europese richtlijn. Indien u klanten heeft in andere Europese landen, kan het zo zijn dat de richtlijn in deze landen eerder is vertaald in lokale wetgeving dan in Nederland. Uw klanten zullen hierdoor eerder van u eisen dat u voldoet aan NIS2.