De NIS2 cyber security-regeling: dit moet je weten

Sectoren die onder de NIS2-richtlijn vallen 

Frank van der Hoeven (KPN Partner Network) zei het onlangs al in onze podcast: “Supply Chain Attacks zijn misschien wel de meest vervelende cyberaanvallen omdat ze de hele keten aanvallen.” De overheid ziet, onder andere vanuit het Nationaal Cyber Security Centrum (NCSC), dat dit de vitale sectoren kan treffen. “Voor energiecentrales en watervoorzieningen is NIS al van toepassing”, zegt Frank in onze podcast. NIS staat voor ‘Directive on security of network and information systems’. “De NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten”, meldt de Digitale Overheid. De reden? Valt een organisatie in een vitale sector uit, dan heeft dit vergaande gevolgen voor de hele samenleving en dat moet te allen tijde voorkomen worden.

Van toepassing op jouw organisatie?

Het criterialijstje van de NIS- en de NIS2-richtlijn is inmiddels nogal uitgebreid. Het richt zich op sectoren, waarbij je kunt denken aan: digitale aanbieders, overheidsdiensten, energie, transport, gezondheidszorg, levensmiddelen en digitale infrastructuur. Op de website van het NCSC vind je een volledig overzicht waar onderscheid wordt gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Op dit moment wordt de vertaling van de Europese richtlijn naar de Nederlandse wetgeving gemaakt.

Is de NIS2-richtlijn van toepassing op jouw organisatie? Doe de zelfevaluatie! 

De pijlers en maatregelen van de NIS2-richtlijn

Hoewel er nog geen handboek klaarligt van wat er precies van jou verwacht wordt, is het goed om alvast na te denken over welke rol cyber security op dit moment speelt in jouw organisatie. Daarnaast kun je via de links hierboven zien of jouw organisatie straks onder de NIS2-wetgeving valt. De pijlers waar NIS2 zich in ieder geval op richt, zijn: 

1. Security risico’s in kaart brengen
2. Risico’s beperken door bescherming en detectie
3. De gevolgen van cyberincidenten beperken
   
   

Op basis van deze pijlers bepaal je vervolgens welke technische, operationele en organisatorische maatregelen je moet treffen om te voldoen. Het uiteindelijke doel is altijd: sterke cyber security om ‘de keten’ te beschermen en veilig te houden. Gezien de gevolgen van de gemiddelde cyberaanval kunnen wij dit alleen maar toejuichen!

Tip: bekijk ook welke verplichtingen de NIS2-richtlijn precies voorschrijft, gebaseerd op de drie onderdelen: zorgplicht, meldplicht en toezicht. 

Deadline in zicht

Met het belang van de richtlijn in het achterhoofd is inmiddels een deadline gesteld. Tot 17 oktober 2024 krijgen landen van de EU de tijd om de NIS2-richtlijn op te nemen in de nationale wetgeving. Het is dus belangrijk om vóór deze deadline te voldoen aan de vereisten van de richtlijn. Bekijk ook de samenvatting van de Rijksdienst voor Ondernemend Nederland (RVO) en neem gerust contact met ons op om mee te denken over jouw digitale veiligheid!