NIS2 in de toekomst van Europese cybersecurity.

Op 17 oktober 2024 is de NIS2-richtlijn in werking getreden en zal vermoedelijk in de loop van 2025 omgezet worden in nationale regelgeving. De NIS2 zal een vervanging zijn van de NIS1, die een begin maakte aan digitale bescherming van de Europese Unie. De NIS1-richtlijn was vooral bedoeld voor de bescherming van de kritieke infrastructuur en de daaraan gerelateerde bedrijven. De nieuwe NIS2-richtlijn breidt deze bescherming uit. Dit doet deze richtlijn door een aantal belangrijke verantwoordelijkheden aan de bedrijven zelf op te dragen. Hoewel deze richtlijn voornamelijk gericht is op grotere bedrijven, kan het zijn dat je toch met deze regelgeving rekening moet houden. Dit kan bijvoorbeeld zijn wanneer je ketenpartners aan deze richtlijn moeten voldoen.  Daarnaast is het belangrijk om al in een vroeg stadium te beginnen met de implementatie van de richtlijn, zodat je medewerkers daar vertrouwd mee raken. In deze blog zullen wij de belangrijkste wijzigingen toelichten.

Voor wie
De nieuwe richtlijn maakt onderscheid tussen twee soorten sectoren namelijk

1.Essentiële sectoren

• Gas, water (waaronder drinkwater en afvalwater), elektriciteit en stadsverwarming of koeling
• Olie en waterstof
• Spoor, wegen en luchtruim
• Banken
• Infrastructuur voor de financiële markt
• Zorg
• Digitale infrastructuur
• Overheid
• Ruimtevaart

De grootste verandering is in de IT-sector. Zo moeten ook de gewone aanbieders van IT en ICT systemen zich aan deze regels houden.  Dit is een behoorlijke uitbreiding van de NIS 1-richtlijn waarin alleen aanbieders van digitale infrastructuur (datacenters, DNS etc.) onder deze richtlijn vielen.

2.Belangrijke sectoren.

Naast deze essentiële sectoren zijn er ook een aantal belangrijke sectoren. De bedrijven in deze sectoren hoeven zich pas aan de regels te houden wanneer ze een bepaalde omvang hebben. De richtlijn onderscheidt de bedrijven op basis van het aantal werknemers, de omzet of de totaalbalans.

De sectoren die onder belangrijke sectoren vallen:

• Productie van levensmiddelen, chemische stoffen en medische hulpmiddelen.
• Digitale aanbieders van onlinemarktplaatsen, zoekmachines of sociale media.
• Afvalbeheer en post- of koeriersdiensten

Om te bepalen of je onder deze NIS2-richtlijn valt, kun je gebruikmaken van de NIS2-zelfevaluatietool van de Rijksoverheid.[1] Deze kunt je via deze link uitvoeren.

Wat is er veranderd

Zoals eerder beschreven krijgen bedrijven die onder de reikwijdte van de richtlijn vallen aanvullende verantwoordelijkheden.

Ten eerste moeten deze bedrijven zelf periodieke cyberbeveiligingsevaluaties doen.

Ten tweede hebben bedrijven een meldingsplicht bij incidenten met betrekking tot cybersecurity. Dit houdt in dat een bedrijf een significante breuk in de beveiliging van haar systemen, een melding moet doen bij een toezichthoudende partij. In dit geval is dit de Computercrisisteam (CSIRT). Een significante breuk is een breuk die ernstige operationele verstoring van diensten of financiële verliezen heeft veroorzaakt of kan veroorzaken of wanneer een persoon of bedrijf getroffen kan worden door aanzienlijke materiele of immateriële schade.

Er kan door de Rijksinspectie Digitale Infrastructuur een boete worden opgelegd wanneer blijkt dat een bedrijf niet aan zijn verplichtingen heeft voldaan. Deze boete kan maximaal 10 miljoen euro of 2% van de wereldwijde omzet zijn. Afhankelijk van welke hoger is. De bestuurders van deze bedrijven kunnen ook aangesproken worden voor deze tekortkomingen.[2]

Je bedrijf het beste voorbereiden op de NIS2-richtlijn:

1. Doe de test.
2. Evalueer welke gevolgen deze richtlijn voor je heeft.
3. Welke partijen waarmee je samenwerkt vallen onder de NIS2?
4. Beoordeel of je contracten en algemene voorwaarden zijn aangepast naar de NIS2.
5. Is je IT afdeling of je externe IT partner voorbereid? En zo ja, op welke wijze moet je bedrijf documenteren dat zij aan de NIS 2 voldoet?
6. Heb je de meldplicht goed gecommuniceerd ? Kun je ook garanderen dat deze meldplicht wordt nageleefd?
7. Is je bedrijfsaansprakelijkheidsverzekering aangepast op de NIS2?

 

Advies?

Twijfel je of deze richtlijn op jou van toepassing is of wil je verder advies over de impact van de NIS2 op je onderneming? Neem dan contact op met je accountjurist of de servicedesk via 088-1331133 of service@deraadgevers.nl.

[1] https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

[2] Art. 20 NIS2