De NIS2 komt eraan: wat betekent dit voor jouw bedrijf?

Er komt nieuwe wetgeving aan: de Europese Network & Information Security Directive (NIS2). Deze gaat officieel in per 17 oktober 2024, maar is in Nederland vertraagd tot het derde kwartaal van 2025. De richtlijn gaat over de verbetering van de digitale weerbaarheid van Europese lidstaten. Een ingrijpende wet, zeker voor de digitale sector. Onze public policy manager Jelmer Schreuder en jurist Paula Hooyman leggen uit wat dit voor jouw bedrijf betekent.

Context

In het Nederlands is de NIS2-richtlijn bekend als de Netwerk en Informatie Beveiliging Richtlijn (NIB2). Het is een wet die hogere eisen stelt aan cybersecurity van de grotere gebruikers van digitale technieken. Momenteel kennen we al de NIS1. Deze is in Nederland ingevoerd als de Wet beveiliging netwerk- en Informatiesystemen (Wbni) en is van toepassing op grote overheden en ‘vitale’ bedrijven. Met de nieuwe wet wordt deze doelgroep enorm uitgebreid. Veel meer sectoren en ook middelgrote bedrijven gaan er direct onder vallen. Daarnaast krijg je er indirect mee te maken als jouw klant onder deze wet komt te vallen. Dit geldt dus ook voor kleine bedrijven die leveren aan grote(re) organisaties.

In dit artikel gaan we vooral in op de impact op de digitale sector. Voor een algemene uitleg over de NIS2 verwijzen we je graag naar de uitleg van het Digital Trust Center.

Wanneer val je onder de NIS2?

Je kunt zowel direct als indirect onder de NIS2 vallen. Of je er direct onder komt te vallen kan je achterhalen met de NIS2 Zelfevaluatietool van de overheid. Deze tool is ook te gebruiken door je klanten om te achterhalen of zij eronder komen te vallen.

Direct

Je valt direct onder de NIS2 als je in een (deel)sector valt waar de NIS2 eisen aan stelt. Voor de digitale sector betreft dit de sectoren ‘Digitale infrastructuur’, ‘Beheerders van ICT-diensten’ (Managed Service Providers en Managed Security Providers) en ‘Digitale aanbieders’. Deze definities zijn zeer breed en met name de beheerder-definitie zal het gros van de digitale sector omvatten: “een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de klant ter plaatse of op afstand”.

Daarnaast moet je ook een minimale omvang hebben van 50 medewerkers, of een omzet en balanstotaal van tenminste 10 miljoen euro. Of je moet specifiek aangewezen worden door een ministerie. Daarover moet nog definitief duidelijkheid komen in de Nederlandse uitwerking van de wet.

Indirect

Je kunt ook indirect onder de NIS2 vallen. Dit gebeurt als je een directe leverancier bent van een organisatie die onder de NIS2 komt te vallen. Zij zijn verplicht de eisen uit de NIS2 ook door te vertalen naar hun leveranciers. Bij controle moeten zij dan kunnen aantonen dat ook aan leveranciers uitbestede activiteiten aan die eisen voldoen. In dit geval zal je dus niet zelf onder toezicht komen te staan, maar zal je aan je klant wel alle informatie moeten kunnen aanleveren om aan te tonen dat jouw diensten voldoende veilig zijn.

Wat betekent het om onder de NIS2 te vallen?

Er zijn twee regimes onder de NIS2: voor belangrijke en voor essentiële bedrijven. Het verschil tussen deze categorieën is of je actief (ex ante) of passief (ex post) onder toezicht komt. Voor de digitale sector betekent dit:

Wanneer je onder een van deze twee definities valt, moet je voldoen aan een zorgplicht, een meldplicht en kom je onder actief of passief toezicht te staan van de toezichthouder van de sector waar je binnen valt. In het geval van de digitale sector zal dat de Rijksinspectie Digitale Infrastructuur zijn (RDI, voorheen het Agentschap Telecom of de AT). Passief toezicht (ex post) houdt in dit geval in dat de RDI alleen controles uitvoert na beveiligingsincidenten of wanneer bij hen een melding binnenkomt dat je organisatie zich niet aan de wet houdt. Actief toezicht (ex ante) houdt in dat de RDI op ieder moment kan komen controleren.

NLdigital pleit voor een constructieve wijze van toezicht, waarbij de RDI met de organisaties kijkt of de beveiliging voldoet en hoe ze deze kunnen verbeteren. Wij vinden dat juist door samen te werken aan deze uitdagingen, je tot echte hogere veiligheid komt. Dit in plaats van alleen handhaving achteraf. Duidelijkheid vooraf komt bovendien de zekerheid van ondernemen ten goede. De RDI heeft op dit vlak een positieve reputatie in het verleden en heeft ook aangegeven op een constructieve wijze te willen gaan handhaven.

Wat kan je nu al doen om je voor te bereiden?

Voor veel digitale bedrijven zal de NIS2 geen enorme omslag betekenen. De zorgplicht-eisen uit de NIS2 lijken in grote mate overeen te komen met bekende standaarden, zoals de ISO27001, waar veel bedrijven uit onze sector al aan voldoen. Dit betekent dat je als organisatie verplicht bent om zelf een risicobeoordeling uit te voeren. Op basis van die analyse moet je passende maatregelen nemen om de continuïteit van je diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Deze analyse, de afweging achter de maatregelen en genomen maatregelen moet je ook goed vastleggen en aantoonbaar kunnen maken.

Wil je praktisch aan de slag met de NIS2? Gebruik dan ons stappenplan.

De wet heeft een minimum van 10 maatregelen opgenomen (in artikel 21 lid 2 NIS2) waaraan voldaan moet worden. Deze staan hieronder opgesomd. Het Digital Trust Center heeft bijpassende informatiepagina’s opgesteld (zie de linkjes):

De meldplicht uit deze wet (artikel 23 NIS2) schrijft ook voor dat organisaties beveiligingsincidenten binnen 24 uur moeten melden bij hun toezichthouder én sectorale CSIRT (Computer Security Incident Response Team) als deze incidenten de dienstverlening aanzienlijk (kunnen) verstoren. De overheid heeft aangegeven te werken aan een meldplatform waarmee de melding gelijktijdig bij beide instanties gedaan kan worden. Voor de digitale sector is de RDI de toezichthouder en zal het Nationaal Cyber Security Centrum (NCSC) aangewezen worden als sectorale CSIRT. Zij kunnen vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

“Deze eisen voor de zorgplicht en meldplicht zijn in uitvoeringshandelingen voor de digitale sectoren in detail uitgewerkt. Deze kan je inzien op de website van de Europese Unie. De meldplicht is uitgewerkt in de uitvoeringshandelingen zelf, de bijlage bevat de uitwerking van de zorgplichteisen.” 

Hoe kan ik naleving straks aantonen?

Houd hiervoor onze website in de gaten en deel ook vooral goede ideeën met ons! Voor organisaties die al volledig ISO27001 gecertificeerd zijn verwachten wij geen grote gevolgen, anders dan dat de meldplicht-eisen in de bedrijfsprocessen verankerd zullen moeten worden. Maar ISO27001 is niet voor iedereen haalbaar. Om die reden verkennen wij onder andere een samenwerking met CYRA (zij leveren een vorm van zelfassessment en certificering). Met name wanneer je indirect onder de NIS2 valt en aan je klanten goede processen moet aantonen, kan dat een goede optie blijken. Ben je lid van NLdigital en wil je hier meer over weten, of met andere leden over in gesprek gaan? Neem dan contact op met Jelmer Schreuder.

Heb je vragen?

Ben je lid van NLdigital en heb je vragen, dan kun je die stellen aan onze juristen. Wil je meedenken over de consultatie op de Nederlandse uitwerking en implementing acts, neem dan contact op met Jelmer Schreuder.


Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Gerelateerde artikelen

Tijdlijn Cybersecurity Wet- en Regelgeving 

In dit overzicht delen we de cybersecurity wet- en reglgeving die er de komende jaren aankomt. Zo kunnen onze leden…
Cybersecurity

Stappenplan NIS2 richtlijn

De NIS2 komt eraan. Met dit stappenplan helpen we je om nu al aan de slag te gaan met de…
Cybersecurity

Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software

30 november zijn het Europees Parlement en de Europese Raad tot een akkoord gekomen over de Cyber Resilience Act (CRA),…
Cybersecurity