NIS2: Nieuwe richtlijn voor verbetering digitale en economische weerbaarheid

Sinds 2020 wordt vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. De verwachting is dat de NIS2 eind 2024/begin 2025 van kracht wordt.

In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen.

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.

Voor wie
Organisaties vallen automatisch onder de NIS2-richtlijn, en daarmee de Cyberbeveiligingswet, als zij actief zijn in aangewezen sectoren en volgens bepaalde criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit. Automatisch wil zeggen dat de verplichtingen van de Cyberbeveiligingswet voor deze organisaties direct gaan gelden zodra de wet in werking treedt.

Bepaal of je bedrijf onder de NIS2 valt.

Verplichtingen

• Registratieplicht - Organisaties zijn wettelijk verplicht zich te registreren in het entiteitenregister. 
• Zorgplicht - De zorgplicht verplicht organisaties een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en hun netwerk- en informatiesystemen te beschermen. De leden van het bestuur moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.
• Meldplicht - Incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren, dienen binnen 24 uur gemeld te worden bij de toezichthouder. Het gaat om  Hiervoor wordt een centraal meldpunt ingericht door het NCSC. 
• Toezicht - Organisaties komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.