NiS2 richtlijn
Wat is NiS2?
De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Door de versnelde digitale transformatie is er een sterke stijging in het aantal phishing pogingen, malware en ransomware aanvallen en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NiS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.
De NiS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NiS2 is de opvolger van de eerste NiS-richtlijn, ook wel bekend als de NiB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Doe hier de zelfevaluatie om te kijken waar je aan moet voldoen.
Partnerup kan u ontzorgen bij het implementeren van deze richtlijn. Hiervoor is compatible hard- & software nodig en duidelijke afspraken en contracten.
Wat betekent de NiS2-richtlijn voor jouw organisatie?
De Europese lidstaten hebben tot eind 2024 de tijd om de NiS2 richtlijn op te nemen in nationale wetgeving. Zo moet volgens de richtlijn een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen. Hieronder wordt samengevat welke verplichtingen NiS2-richtlijn voorschrijft en voor welke sectoren ze gaan gelden, zodat organisaties zich een beeld kunnen vormen van de verplichtingen waaraan ze eind 2024 mogelijk moeten voldoen.
Vertaling van richtlijn naar nationale wetgeving
Waarschijnlijk roept dit beeld veel vragen op die op dit moment helaas nog niet beantwoord kunnen worden, simpelweg omdat de concrete vertaling naar Nederlandse wetgeving pas net gestart is. Rond de zomer van 2023 start een consulatie-periode met de bedoeling dat burgers, bedrijven en overheidsinstellingen feedback kunnen geven op wet- en regelgeving die in voorbereiding is. Op dat moment kan ook meer duidelijkheid geboden worden over de concrete vertaling van de richtlijn naar nationale wetgeving, zodat organisaties zich beter kunnen voorbereiden. Wil jij je goed kunnen voorbereiden? Neem dan contact met ons op.
Welke sectoren en organisaties vallen onder de NiS2-richtlijn?
De organisaties die onder de tweede NiS-richtlijn vallen behoren tot:
Sectoren bijlage 1
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Beheer van ICT diensten
Sectoren bijlage 2
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging / manufacturing
De NiS2-richtlijn richt zich op sectoren die al onder de eerste NiS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter.
Welke verplichtingen schrijft NiS2-richtlijn voor?
De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:
- Zorgplicht – De NiS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, waarna zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht – De NiS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht – Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Tijdlijn: van EU-richtlijn naar nationale wetgeving
Momenteel wordt de onderstaande planning gevolgd in het vertalen van de CER- en NiS2-richtlijnen naar nationale wetgeving. Dit is een indicatieve planning, die nog kan wijzigen. Eventuele wijzigingen zullen om die reden hier gepubliceerd worden.
2022
- Op 28 november 2022 is de NiS2-richtlijn vastgesteld door de Europese Raad.
- Op 27 december is de NiS2-richtlijn gepubliceerd in de Official Journal van de Europese Unie.
- Naast de NiS2-richtlijn heeft de Europese Commissie eind 2022 ook de CER-richtlijn vastgesteld, die zich richt op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen.
2023
- In januari 2023 is de implementatietermijn van 21 maanden gestart, waarin de richtlijn moet worden opgenomen in nationale wetgeving.
- Rond de zomer 2023 start een internetconsulatie periode van 6 weken, waarin burgers, bedrijven en overheidsinstellingen mogelijke verbeteringen kunnen aangeven in de wet- en regelgeving die in voorbereiding is. De resultaten van de consultatie worden daarna gepubliceerd en waar mogelijk verwerkt in het wetsvoorstel. De exacte datum is nog niet bekend.
- 18-10-2023 Zelfevaluatie (klik hier)
2024
- Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het parlement zijn behandeld. De organisaties die onder de NiS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
Veelgestelde vragen over de NiS2 richtlijn:
Wat is het verschil met de eerste richtlijn?
Een belangrijk verschil met de eerste NiS-richtlijn is dat organisaties automatisch onder de NiS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. In tegenstelling tot de CER-richtlijn, vindt bij de NiS2-richtlijn dus geen aanwijzing plaats door de ministeries.
- Essentiële entiteiten
- Dat zijn grote organisaties die actief zijn in een sector uit bijlage I van de NiS2-richtlijn (zie tabel)
- Een organisatie is groot op basis van de volgende criteria:
- meer dan 250 werknemers of;
- een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
- Belangrijke entiteiten
- Dat zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en organisaties die actief zijn in een sector uit bijlage II.
- Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet of balanstotaal van meer dan 10 miljoen euro.
Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen onder een intensiever regime van toezicht, namelijk zowel voor- als achteraf toezicht wordt gehouden op de
Hoe zit dat met micro- en kleine bedrijven?
Micro- en kleine bedrijven vallen in principe niet onder de NiS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling, bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie.
Daarnaast zijn er nog micro- en kleine bedrijven die wel onder de NiS2-richtlijn vallen. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare
Welke verplichtingen schrijft NiS2-richtlijn voor?
De verplichtingen van beide richtlijnen lijken sterk op elkaar. Belangrijke onderdelen zijn:
- Zorgplicht – De NiS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht – De NiS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat. vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
- Toezicht – Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Wat kunnen organisaties van de overheid verwachten?
De NiS2-richtlijn verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale risico’s. De richtlijn schrijft voor dat essentiële en belangrijke entiteiten met advies en bijstand worden ondersteund door een CSIRT. De ondersteuning vanuit de overheid kan verder bestaan uit informatie-uitwisseling, richtlijnen en weerbaarheid verhogende instrumenten, bijvoorbeeld voor het uitvoeren van een risicobeoordeling.
Waar kan ik de gehele richtlijn vinden?
U kunt de gehele richtlijn hier inzien.
Klaar voor de volgende versnelling?