leestijd: 3 minuten · niveau: simpel

Voorbereiden op NIS2: Verhoogde Cybersecurityvereisten voor 2024

16 juli 2024 Daisy Essers

Vanaf 2024 wordt de huidige regelgeving van cybersecurity in Europa verder aangescherpt door de nieuwe NIS2-richtlijnen van ENISA (Europees Agentschap voor netwerk- en informatiebeveiliging). Vanaf eind 2024 zullen meer bedrijven onder deze regelgeving vallen, waardoor meer bedrijven te maken krijgen met de zorgplicht, meldplicht en toezicht rondom cybersecurity. Onder andere productiebedrijven, postbedrijven en digitale aanbieders zullen voortaan onder de richtlijnen vallen. Met de overgang naar het tweede kwartaal van 2024 zijn er steeds meer bedrijven die zich voorbereiden op de NIS2-richtlijnen. Ook wij zijn als bedrijf hier volop mee bezig.

Voortaan moeten de bedrijven in de desbetreffende sectoren rekening houden met vier verplichtingen van cybersecurity

Registratieplicht

Alle bedrijven die moeten voldoen aan de NIS2-richtlijnen zijn verplicht zich te registreren in een Europees register. Het NCSC (Nationaal Cybersecurity Centrum) zet een online registratieplatform op waar bedrijven en organisaties zichzelf moeten registreren als entiteit die moet voldoen aan de NIS2-richtlijnen.

Zorgplicht

Organisaties moeten verplicht een risicoanalyse uitvoeren om digitale kwetsbaarheden te identificeren. Op basis van deze analyse moeten passende maatregelen worden genomen en beveiliging worden geregeld. Deze risico-gestuurde aanpak is bedoeld om beveiligingsrisico’s zo veel mogelijk te minimaliseren. De maatregelen moeten worden goedgekeurd door het bestuur en toezichthouders binnen het bedrijf.

Meldplicht

Ieder incident dat zich voordoet en schade kan veroorzaken, moet binnen 24 uur worden gemeld bij de desbetreffende toezichthouder. Het NCSC zet een centraal meldpunt op waar alle incidenten gemeld kunnen worden. Ieder incident dat de verlening van een belangrijke dienst in gevaar brengt, moet worden gemeld. De ernst van het incident bepaalt of het meldwaardig is en heeft vooral te maken met de omvang van de schade. Bij cyberincidenten moet ook het CSIRT (Computer Security Incident Response Team) worden geïnformeerd.

Toezicht

Alle bedrijven en organisaties worden opgedeeld in sectoren, waarbij enkele bedrijven nu bij komen door de aangescherpte regels van de NIS2-richtlijnen. Voor de meldplicht wordt voor iedere sector een toezichthouder aangesteld. De toezichthouder zorgt ervoor dat de regels worden nageleefd en dat bedrijven voldoen aan de verplichtingen van de NIS2-richtlijnen.

Voor wie gaat de NIS2-richtlijn gelden?

De NIS2-richtlijnen zullen gelden voor alle overheidsorganisaties en bedrijven die cruciaal zijn voor het functioneren van Nederland, zoals energie-, transport- en zorgbedrijven. Denk bijvoorbeeld aan elektriciteitsleveranciers zoals Enexis en ziekenhuizen. Uitval bij deze bedrijven kan grote gevolgen hebben. Daarnaast zullen ook minder kritieke sectoren zoals postbezorging, afvalverwerking en onderzoeksorganisaties onder de regels vallen.

Om te bepalen of je bedrijf onder de NIS2-richtlijn valt, is het formaat van je bedrijf van belang. Micro- en kleinbedrijven vallen meestal niet onder de richtlijn. Bedrijven met meer dan 50 werknemers en/of een jaaromzet en balanstotaal boven de 10 miljoen euro worden als middelgroot beschouwd en kunnen onder de regels vallen. Uitzonderingen, zoals verleners van domeinregistratiediensten en overheidsorganisaties, vallen ongeacht hun omvang onder de regels.

Kan ik me voorbereiden op de NIS2-richtlijn?

Als je bedrijf onder de NIS2-richtlijn valt, kun je je hierop voorbereiden door een risicoanalyse te maken en passende maatregelen te nemen. Lidstaten zijn verplicht hierbij te helpen, maar je kunt ook al een groot deel zelf doen. Monitor kwetsbaarheden en zorg ervoor dat je snel en efficiënt verstoringen van de cybersecurity kunt detecteren en oplossen.

Bij het Digital Trust Center kun je uitleg en instructies vinden voor het maken van een eigen risicoanalyse en een bijbehorend beleidsplan met betrekking tot de NIS2-richtlijn. Zij bieden ook een analyse om te achterhalen in welke risicoklasse je bedrijf valt. Wanneer je die invult, ontvang je aan het einde twee documenten: een met de aanbevolen maatregelen voor je risicoklasse en een document met een voorstel voor een inventarisatie van IT-onderdelen en voorbeelden van draaiboeken.

Je kunt een Rijksbrede Risicoanalyse (RbRa) vinden bij de NCTV om een inschatting te maken van mogelijke dreigingen en om te gebruiken voor een Rijksbrede Veiligheidsstrategie (RbVS).

Zo maak je je organisatie klaar voor de aankomende NIS2-richtlijn!

Kort samengevat

Vanaf 2024 wordt de Europese regelgeving voor cybersecurity aangescherpt door de nieuwe NIS2-richtlijnen van ENISA. Hierdoor zullen meer bedrijven, zoals productie-, post- en digitale aanbieders, onder de regelgeving vallen en te maken krijgen met registratieplicht, zorgplicht en meldplicht. Bedrijven moeten zich registreren, risicoanalyses uitvoeren en incidenten binnen 24 uur melden. Toezichthouders in verschillende sectoren zorgen voor naleving. De NIS2-richtlijnen gelden voor overheidsorganisaties en kritieke sectoren zoals energie en zorg, maar ook voor minder kritieke sectoren zoals post en afvalverwerking.

Bedrijven kunnen zich daar ook al op voorbereiden door een risicoanalyse te doen waarmee ze de digitale kwetsbaarheden binnen hun bedrijven bloot leggen. Vervolgens moeten ze bijpassende maatregelen treffen om het risico van deze kwetsbaarheden te beperken en monitoren hoe het met deze kwetsbaarheden gaat.

Hulp nodig met je website?

Heb je vragen over cybersecurity en wil je daar graag meer over weten? Of heb je advies nodig over hoe je het beste uit je website kunt halen? Wij kijken graag met je mee naar de mogelijkheden!

Kom in contact