Blog20 november 2023

Is jouw bedrijf online actief? Check dan of jouw bedrijf moet voldoen aan de NIS2-richtlijn

Cybersecurity
Image

De afgelopen jaren zien we dat verschillende ontwikkelingen de veiligheid van onze maatschappij en economie steeds meer onder druk zetten. Denk daarbij aan COVID-19, de Oekraïne-oorlog, de gevolgen van klimaatverandering en een flinke stijging van het aantal cyberaanvallen en -incidenten. Met name phishing, malware en ransomware vormen een groot probleem. Daarom heeft Europa richtlijnen opgesteld met als doel om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren. Maar wat houdt de NIS2-richtlijn precies in, en hoe weet je of jouw bedrijf er aan moet voldoen? En wat is de impact van deze richtlijn? Wat voor boetes kun je verwachten bij het niet naleven van deze richtlijn? In deze blogpost leggen we het je uit.

Wat is de NIS2-richtlijn?

In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS Directive). De NIS1-richtlijn was de eerste Europese wetgeving die was gericht op het verhogen van cybersecurity. De focus lag hierbij op essentiële dienstverleners, zoals water-, energie- en telecombedrijven,  de transportsector, gezondheidszorg en financiën. De NIS2 is een uitbreiding van de eerste richtlijn die meer bedrijven aanmerkt als essentieel bedrijf. De reikwijdte wordt uitgebreid naar meer sectoren en diensten, waaronder ICT, cloud computing, online marktplaatsen, sociale media, zoekmachines en digitale infrastructuur. Veel bedrijven hadden dus eerst niet met de NIS1-richtlijn te maken, maar nu ineens wel met NIS2.

Whitepaper: Maak je klaar voor de NIS2-richtlijn in 8 stappen

Wat houdt NIS2 in? Moet jij als MKB’er voldoen aan deze richtlijn? De NIS2-richtlijn heeft niet alleen een zorgplicht, maar ook een bewijsplicht. Dat betekent beveiligen, beproeven en bewijzen. Deze whitepaper is bedoeld als aanzet voor het NIS2-project binnen jouw organisatie. Hallo laat je zien waar je aan moet denken en geeft suggesties voor methodes, strategieën en controles. Zo ben je eind 2024 zeker klaar voor NIS2. Klinkt dit als verplicht huiswerk? Dat is het ook.

Wat zijn de belangrijkste onderdelen van de NIS2-richtlijn?

De belangrijkste onderdelen van de NIS2 zijn:

  • Bedrijven moeten ook de beveiligingsrisico’s in hun toeleveringsketens en leveranciersrelaties aanpakken.

  • Bedrijven moeten nu incidenten melden en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden.

  • De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten, maar classificeert organisaties op basis van hun belang en onderverdeelt ze in essentiële en belangrijke categorieën.

  • De richtlijn verscherpt de security-eisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecurity maatregelen.

  • Er zijn meer sectoren opgenomen in de nieuwe richtlijn, waarbij middelgrote en grote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen ook kleinere bedrijven identificeren met een hoog risico.

  • De NIS2 vraagt om meer aandacht voor de bestuursorganen van bedrijven die onder de richtlijn vallen, zodat ze verantwoordelijk kunnen worden gesteld als er iets misgaat.

  • Nationale autoriteiten krijgen strengere toezichtsmaatregelen en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren.

    Image

Hoe weet je of jouw bedrijf aan de NIS2-richtlijn moet voldoen?

Om te weten of jouw bedrijf aan de NIS2-richtlijn moet voldoen, moet je eerst bepalen of jouw bedrijf een essentiële of een belangrijke dienstverlener is.

Een essentiële dienstverlener is een bedrijf dat een dienst levert die cruciaal is voor het functioneren van de samenleving of de economie, zoals elektriciteit, water, gezondheidszorg of financiën.

Een belangrijke dienstverlener is een bedrijf dat een dienst levert die een grote impact heeft op een groot aantal gebruikers of andere bedrijven, zoals ICT, cloud computing, online marktplaatsen of sociale media.

Image

Doe de test op de website van de Rijksoverheid

Is de NIS 2-richtlijn van toepassing op jouw organisatie? Met deze zelf-evaluatie weet je of de NIS 2-richtlijn op jouw organisatie van toepassing is.

Doe hier de test

Welke verplichtingen zijn er onder deze richtlijn?

Indien jouw bedrijf een essentiële of een belangrijke dienstverlener is, dan moet je voldoen aan de eisen van de NIS2-richtlijn. Deze eisen zijn onder andere:

  • Passende technische en organisatorische maatregelen nemen om het risico op cyberincidenten te verminderen en om de continuïteit van de dienstverlening te waarborgen.

  • Ernstige cyberincidenten aan de bevoegde autoriteiten melden binnen 24 uur na ontdekking.

  • Meewerken aan audits, inspecties en controles door de bevoegde autoriteiten.

Verzaak je de verplichtingen van de NIS2-richtlijn, dan kun je te maken krijgen met hoge boetes of andere sancties. De hoogte van de boetes kan oplopen tot 10% van de jaaromzet, met een maximum van 20 miljoen euro.

Hoe kan Hallo je helpen met de NIS2-richtlijn?

Als jouw bedrijf aan de NIS2-richtlijn moet voldoen, dan kan Hallo je hiermee helpen. We lopen samen met jou alle cybersecurity issues door, die nodig zijn om aan de eisen van de NIS2-richtlijn te voldoen. Je kan gewoon even bellen voor een vrijblijvend oriënterend gesprek. Je kunt ons bereiken via 088 25 50 100. Word je liever gebeld? Dat kan ook. Vul hier het formulier in om een afspraak te maken. Dan bellen wij jou wanneer het jou uitkomt.

Wanneer moet je als bedrijf alles op orde hebben?

Tot slot is het essentieel om te benadrukken dat de overheid momenteel bezig is met het uitwerken van de details van de NIS2-richtlijn, inclusief eventuele specifieke deadlines voor organisaties om eraan te voldoen. Hoewel er nog geen definitieve einddatum is vastgesteld, wordt momenteel gesproken over eind 2024 als mogelijke deadline waarop organisaties moeten voldoen aan de vereisten van de NIS2-richtlijn.

Deel dit bericht via