Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
NIS2-richtlijn cyberbeveiliging essentiële entiteiten belangrijke entiteiten risicoanalyse meldplicht incidentenbeheer
December 21, 2023
LEES TIJD:
4
MINUTen

NIS2 Richtlijn: Wat betekent dit voor uw organisatie?

NIS2 richtlijn: Wat betekent dit voor uw organisatie?

Wat gaat de NIS2 richtlijn betekenen voor uw organisatie?

De Network and Information Security Directive (NIS2-richtlijn) zijn eind 2022 vastgesteld door de Europese Unie. De richtlijn is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten en richt zich op digitale (cyber) risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer. Naar verwachting zal de wet eind 2024 in werking treden en organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Het is dan ook essentieel dat organisaties zich tijdig voorbereiden. Deze blog licht toe wanneer en waarom jouw organisatie onder deze wet valt en biedt een stappenplan om te voldoen aan de nieuwe eisen.

Valt uw organisatie onder de NIS2 regelgeving?

Het aantal sectoren is onder de nieuwe richtlijn uitgebreid ten opzichte van de eerste NIS-richtlijn. Hieronder een overzicht:

sectoren NIS2-richtlijn cyberbeveiliging risicoanalyse
Energie, Digitale aanbieders, Transport, Post- en koeriersdiensten, Infrastructuur financiële markt, Afvalstoffenbeheer, Gezondheidszorg, Levensmiddelen, Drinkwater, Chemische stoffen, Digitale infrastructuur, Onderzoek, Afvalwater, Vervaardiging/manufacturing, Overheidsdiensten, Ruimtevaart, Beheerders van ICT Diensten, Bankwezen.

Is uw organisatie actief in een van bovenstaande sectoren en kan deze gekenmerkt als ‘essentiële’ of ‘belangrijke’ entiteit dan valt uw organisatie automatisch onder de nieuwe NIS2 regelgeving. Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.

Essentiële entiteiten

Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)

Een organisatie is groot op basis van de volgende criteria: minimaal 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteit

Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.

Een organisatie is middelgroot op basis van de volgende criteria: minimaal 50 werknemers of, een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Of doe de zelfevaluatie opgesteld door de rijksoverheid - NIS2 Zelfevaluatie NL

Waarom nu beginnen met voorbereiden?

De complexiteit van de NIS2 regelgeving vereist een grondige voorbereiding. Vroegtijdige compliance waarborgt niet alleen de veiligheid van uw organisatie, maar voorkomt ook mogelijke sancties en versterkt het vertrouwen van klanten en stakeholders in uw digitale veiligheid.

NIS2 regelgeving, welke stappen moet ik nemen?

Om uw organisatie goed voor te bereiden kunt u denken aan tenminste de volgende stappen:

Maak een risicoanalyse van de digitale dreigingen die de dienstverlening van uw organisatie kunnen verstoren.

• Welke digitale risico’s zijn relevant voor uw organisatie omdat ze de continuïteit van de dienstverlening zouden kunnen verstoren?

• Wat zijn de kroonjuwelen of te beschermen belangen van de organisatie?

• Welke maatregelen heeft uw organisatie (al) genomen om de belangen te beschermen tegen de risico’s?

Neem waar mogelijk maatregelen die uw organisatie (beter) beschermen tegen deze risico’s.

• Opstellen van bedrijfscontinuïteitplannen en crisisbeheersingsprotocollen.

• Het identificeren van alternatieve toeleveranciers.

• Het vergroten van bewustwording onder het personeel.

Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

Organisaties die straks onder de wetgeving vallen zijn verplicht om incidenten te melden bij de sectorale CSIRT en de toezichthouder. Hiervoor wordt een centrale meldvoorziening ingericht. Factoren die een incident meldingsplichtig maken zijn bijvoorbeeld de duur van een incident of het aantal personen dat door het incident getroffen wordt. De eisen van deze meldplicht kunnen bijvoorbeeld verankerd worden in een incident response plan. DeepBlue heeft ruime ervaring in het optuigen van verschillende processen en protocollen waarbij de input van onze ervaring van grote betekenis kan zijn. Kijk op onze website voor meer informatie

Samengevat

De NIS2 regelgeving vormt een belangrijke nieuwe standaard in de cybersecurity wetgeving. Door nu al actie te ondernemen, kan uw organisatie de overgang naar deze nieuwe standaarden soepel en effectief maken, en zo kunt u een voortrekkersrol spelen in de digitale veiligheid. Laat u niet verrassen door de NIS2; begin vandaag nog met de voorbereidingen.

Link naar NIS2-richtlijn (NL vertaling): https://eur-lex.europa.eu/legal-

Voor advies of meer informatie, nodigen we u uit om contact op te nemen via:

Contact: +31 (0)70-800 2025

Of lees meer op: DeepBlue Security & Intelligence

Klaar om te beginnen?

Als het om cyber security gaat, zijn wij uw beste keuze

Contact