Wat is NIS2 in het kort? De essentie van de nieuwe Europese cybersecurityrichtlijn
Een overzicht van de NIS2-richtlijn en de impact ervan op organisaties in Europa.

Wat is NIS2 in het kort? De essentie van de nieuwe Europese cybersecurityrichtlijn
De digitale samenleving is in toenemende mate afhankelijk van complexe netwerk- en informatiesystemen. Om de weerbaarheid tegen cyberaanvallen te vergroten, heeft de Europese Unie de NIS2-richtlijn (oftewel de tweede Netwerk- en Informatiebeveiliging Richtlijn) aangenomen. Maar wat is NIS2 in het kort, en wat betekent deze wetgeving concreet voor organisaties in Nederland en daarbuiten?
Waarom een nieuwe richtlijn? Van NIS1 naar NIS2
De voorganger, de NIS1-richtlijn uit 2016, legde de basis voor een gecoördineerde aanpak van cybersecurity in de EU. Echter, de digitale dreigingslandschap is sindsdien exponentieel geëvolueerd. De NIS1 voldeed niet meer aan de eisen van deze tijd, onder meer door onduidelijke definities en een beperkte reikwijdte. NIS2 scherpt de regels aan, breidt het toepassingsgebied uit en introduceert strengere handhaving. Het doel is een hoger gemeenschappelijk niveau van cyberbeveiliging te realiseren binnen de EU, ter bescherming van kritieke diensten en economische activiteiten.
Welke sectoren vallen onder NIS2? Een bredere scope
Een cruciaal aspect van NIS2 is de aanzienlijk bredere reikwijdte. Waar NIS1 zich primair richtte op traditionele kritieke sectoren zoals energie en water, omvat NIS2 nu ook veel meer sectoren en typen organisaties. De richtlijn maakt onderscheid tussen 'essentiële entiteiten' en 'belangrijke entiteiten', gebaseerd op hun omvang en impact op de economische en maatschappelijke activiteiten. Voor beide categorieën gelden vergelijkbare verplichtingen, zij het met enige nuance in het toezicht en de handhaving.
- Essentiële entiteiten: Denk hierbij aan energie, transport, bankwezen, financiële-marktinfrastructuren, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur (waaronder DNS-dienstverleners, TLD-naamregisterhouders), ICT-dienstverleners (BP2B), overheidsdiensten en ruimtevaart.
- Belangrijke entiteiten: Deze omvatten onder meer post- en koeriersdiensten, afvalbeheer, productie van chemische stoffen, voedingsmiddelen, medische hulpmiddelen, machinebouw, digitale dienstverleners (zoals online marktplaatsen en sociale netwerkplatforms) en onderzoek.
- Uitzonderingen gelden voor micro- en kleine ondernemingen, tenzij zij bepaalde kritieke functies vervullen.
Welke verplichtingen brengt NIS2 met zich mee?
Organisaties die onder de NIS2-richtlijn vallen, krijgen te maken met een reeks concrete verplichtingen gericht op risicobeheer en rapportage. Deze verplichtingen zijn bedoeld om een proactieve houding ten aanzien van cyberbeveiliging te stimuleren.
Belangrijke aspecten zijn:
- Implementatie van technische en organisatorische maatregelen: Dit omvat risicoanalyses, incidentbeheer, bedrijfscontinuïteit en crisisbeheer, toeleveringsketenbeveiliging, beveiliging van netwerk- en informatiesystemen, en het gebruik van multifactorauthenticatie.
- Meldplicht voor cybersecurityincidenten: Organisaties moeten ernstige incidenten met aanzienlijke impact binnen specifieke termijnen melden aan nationale autoriteiten. Een initiële melding moet binnen 24 uur na bekendwording van een incident plaatsvinden.
- Toezicht en handhaving: Lidstaten moeten toezicht houden op de naleving en kunnen boetes opleggen bij niet-naleving. Voor essentiële entiteiten kunnen deze boetes oplopen tot maximaaL 10 miljoen euro of 2% van de jaaromzet, afhankelijk van welke van de twee hoger is.
- Aansprakelijkheid van het management: Het management van organisaties is expliciet verantwoordelijk voor het naleven van de cybersecuritymaatregelen. Dit onderstreept het belang van cybersecurity op bestuursniveau.
De implementatie van NIS2 in Nederland en de impact
Lidstaten, waaronder Nederland, moeten de NIS2-richtlijn uiterlijk in oktober 2024 omzetten in nationale wetgeving. Dit betekent dat bedrijven en organisaties ruime tijd hebben om zich voor te bereiden op de nieuwe eisen. Het niet voldoen aan de NIS2-eisen kan leiden tot aanzienlijke financiële sancties, reputatieschade en operationele verstoringen. Het is daarom van belang voor organisaties om nu al na te gaan of zij onder de richtlijn vallen en welke maatregelen zij moeten treffen om tijdig compliant te zijn. Dit omvat doorgaans een assessment van de huidige cybersecuritystatus, het dichten van eventuele lacunes en het opstellen van een gedegen implementatieplan.
In Nederland is het Nationaal Cyber Security Centrum (NCSC) een belangrijke speler in de ondersteuning en informatievoorziening rondom cyberbeveiliging en de implementatie van NIS2. Het is raadzaam voor organisaties om zich te verdiepen in de richtlijnen en ondersteuning die via nationale kanalen worden geboden.


