Wat is NIS2? Raakt dit mijn bedrijf? Wat moet ik doen? In dit artikel krijgt u een beknopt overzicht en kunt u snel inschatten of deze wet relevant is voor uw organisatie.
Wat is NIS2?
NIS2 is de afkorting van de Network and Information Systems Directive 2, een Europese richtlijn die de cyberbeveiligingseisen voor organisaties die essentiële of belangrijke diensten aanbieden in verschillende sectoren versterkt en uitbreidt. De NIS2-richtlijn moet nog worden aangenomen door het Europees Parlement en de Raad van de Europese Unie, en vervolgens worden omgezet in nationale wetgeving door de lidstaten.
In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen.
Welke impact heeft NIS2 op mijn IT-omgeving en processen?
Als uw bedrijf een essentiële of belangrijke dienst aanbiedt, moet u rekening houden met de gevolgen van de NIS2-richtlijn voor uw IT-omgeving en processen. U moet ervoor zorgen dat u over een adequaat niveau van cyberbeveiliging beschikt, dat u regelmatig risicobeoordelingen uitvoert, dat u incidenten meldt aan de bevoegde autoriteiten en dat u deelneemt aan informatie-uitwisseling en samenwerking met andere belanghebbenden. U moet ook voldoen aan de nationale regels en voorschriften die Nederland zal vaststellen om de NIS2-richtlijn uit te voeren.
Voor welke bedrijven is NIS2 van toepassing?
De NIS2-richtlijn is van toepassing op bedrijven die essentiële of belangrijke diensten aanbieden in een van de volgende sectoren:
Vanaf welke grootte moet mijn bedrijf aan NIS2 voldoen?
De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:
Een organisatie is ‘groot’ als er:
- Minimaal 250 personen werkzaam zijn OF;
- Er sprake is van een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro
Een organisatie is ‘middelgroot’ als er:
- Minimaal 50 personen werkzaam zijn OF;
- Er sprake is van een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro
Vervolgens wordt aan de hand van de genoemde sectoren in bijlage I en II van de Cyberbeveiligingswet bepaald of een organisatie als een ‘essentiële entiteit’ of een ‘belangrijke entiteit’ wordt beschouwd.
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn. De vakminister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij. In dat geval worden deze bedrijven hierover geïnformeerd door het desbetreffende ministerie. Daarmee kunnen ze alsnog onder de Cyberbeveiligingswet komen te vallen.
Wacht niet af, maar ga nu al aan de slag
De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving.
Informatiebeveiliging is een onderwerp wat gelukkig door steeds meer MKB’s serieus genomen wordt. Ook als uw organisatie niet aan de NIS2 criteria voldoet heeft u belang bij een goed en veilig ingerichte IT omgeving.
Neem contact op met Eenvoud.Online via info@eenvoud.online of 085 007 4510 voor een vrijblijvend adviesgesprek.
Bronvermelding:
Cyberbeveiligingswet (NIS2-richtlijn) | Over het NCSC | Nationaal Cyber Security Centrum
Wat zijn de sectoren en criteria die bepalen of een organisatie onder de NIS2-richtlijn valt? | CER- en NIS2-richtlijnen | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl)
Wet beveiliging netwerk- en Informatiesystemen (Wbni) voor digitale dienstverleners | Brochure | Rijksoverheid.nl