NIS2 richtlijn compliant worden

Cyberbeveiliging voor essentiële organisaties met de NIS2 richtlijn

Steeds meer digitale ontwikkelingen zetten de veiligheid van onze maatschappij en economie onder druk. Om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren is de NIS2 cyberwetgeving ontworpen. Deze volgt de oude NIS-richtlijn op die niet langer voldoende beschermde. De NIS2 richtlijn geldt voor meer sectoren en stelt strengere beveiligingsnormen en melding vereisten voor incidenten. Als cybersecurity-expert biedt DEKRA certificeringen aan waarmee u kunt aantonen aan NIS2-richtlijnen te voldoen. Dit zijn (delen van) ISO 27001, IEC 62443 en NIST Cybersecurity Framework (CSF) in combinatie met extra documentatie, afhankelijk van uw situatie.

Wat is de NIS2 directive eu?

De NIS2 richtlijn is een Europese richtlijn en staat voor Network and Information Security directive. NIS2 is opvolger van de oorspronkelijke NIS wetgeving, die in 2016 werd ingevoerd. Het doel van de NIS2 richtlijn is dat organisaties die essentiële diensten leveren, zoals zorginstellingen en energiebedrijven, hun risico’s op het gebied van cybersecurity in kaart brengen en aanpakken. Daarbij zijn er ook toezichts- en handhavingsmaatregelen opgenomen in de NIS2 directive eu. NIS2 is een wetgeving. U bent dus verplicht om vanaf de zomer van 2025 aan deze Europese cyberwetgeving te voldoen.

Wat valt er onder de NIS2 scope?

Er wordt bij de NIS2 richtlijn onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten kunnen steekproefsgewijs gecontroleerd worden. Deze organisaties kunnen geaudit worden zonder dat er een incident heeft plaatsgevonden. Controles kunnen onder andere plaatsvinden door beveiligingsscans en inspecties ter plaatse. Deze organisaties vallen als het ware onder een vergrootglas. Een essentiële organisatie móet, met alle bewijslast, kunnen aantonen dat het aan NIS2 voldoet.

Belangrijke entiteiten daarentegen zullen alleen bij bewijs, aanwijzingen of informatie dat deze niet voldoen aan de richtlijn, gecontroleerd worden door middel van een audit. Dit gebeurt na een cyberhack. Maar ook voor hen is het natuurlijk verplicht en erg belangrijk om te voldoen aan NIS2 wetgeving. Men moet kunnen aantonen dat de organisatie voldeed aan cyberregelgeving op het moment van de cyberhack.

NIS2 is van toepassing op middelgrote en grote bedrijven (50+ medewerkers of met een jaarlijkse omzet van 10 miljoen euro) in verschillende sectoren. Micro en kleine bedrijven vallen in principe niet onder de NIS2 richtlijn. Uitgezonderd op deze regel zijn aanbieders van vertrouwensdiensten, zij vallen wel binnen de NIS2 scope. Daarnaast kan de minister van een bepaalde sector ervoor kiezen om een micro- of klein bedrijf alsnog te laten verplichten aan de NIS2 richtlijn als dat essentieel blijkt uit de risicobeoordeling.

Onder de NIS2 richtlijn vallen alle organisaties die ook onder de eerste NIS-richtlijn vallen. Daarnaast zijn er een paar nieuwe sectoren toegevoegd die ook tot de NIS2 scope behoren. Hieronder vindt u een overzicht van alle sectoren, verdeeld over essentiële en belangrijke entiteiten.

Essentiele entiteiten:

Energie
Vervoer
Gezondheidszorg
Overheidsdiensten
Ruimtevaart
Beheerders van ICT-diensten
Digitale infrastructuur
Drinkwater
Afvalwater
Infrastructuur financiële markt
Bankwezen

Belangrijke entiteiten:

Vervaardiging (manufacturing)
Post- en koeriersdiensten
Afvalstoffenbeheer
Levensmiddelen
Chemische stoffen
Onderzoek

Nieuw: ook leveranciersketen wordt gecontroleerd

Een belangrijk aspect van NIS2 is de nadruk op de verantwoordelijkheid van organisaties om ook cybersecurityrisico’s binnen hun leveranciersketen in kaart te brengen en aan te pakken. Dit betekent dat bedrijven niet alleen hun eigen systemen moeten beveiligen, maar ook die van hun partners en leveranciers, de volledige keten. Want ook de leveranciers beschikken vaak over cybergevoelige informatie. Het uiteindelijke doel is om gegevens te beschermen en een veerkrachtiger digitaal ecosysteem te creëren, waarin de kans op verstoringen door cyberaanvallen aanzienlijk wordt verkleind.

Het kan voorkomen dat uw toeleveranciers of dienstverlenende partners niet actief zijn in een van de genoemde sectoren of minder dan 50 medewerkers hebben, waardoor zij niet het label 'essentieel' of 'belangrijk' krijgen. Toch moeten zij nog steeds voldoen aan NIS2. Bovendien kan de EU deze organisaties in de toekomst alsnog labelen als essentieel of belangrijk.

Met deze tool van de Rijksoverheid kunt u snel checken of de NIS2-richtlijn van toepassing is op uw organisatie.

NIS2 directive timeline

De NIS2 directive wordt van EU-richtlijn vertaalt naar nationale wetgeving. In november 2022 is de NIS2 vastgesteld door de Europese Raad. Daaropvolgend is in januari 2023 de implementatieperiode van 21 maanden gestart. In Nederland treedt de NIS2-richtlijn per Q3 2025 in werking. Bekijk hier de volledige NIS2 directive timeline. Vanaf dan moeten alle organisatie die onder de NIS2 richtlijn vallen aan de zorg- en meldplicht voldoen. Voldoet een organisatie hier niet aan? Dan volgen er maatregelen zoals waarschuwingen, bindende instructies en boetes.

Wat zijn de verplichtingen van de NIS2 richtlijn?

Organisaties die onder de NIS2-richtlijn vallen, zijn verplicht om maatregelen te treffen ter bescherming van hun netwerk- en informatiesystemen tegen cyberincidenten. Dit omvat niet alleen digitale beveiliging, maar ook de fysieke omgeving waarin deze systemen opereren. Het doel is om de continuïteit van diensten te garanderen en informatie te beschermen tegen verstoringen.

Risicobeoordeling: Organisaties moeten een uitgebreide risicoanalyse uitvoeren om potentiële bedreigingen voor hun netwerk- en informatiesystemen te identificeren.
Beveiligingsmaatregelen: Op basis van deze risicobeoordeling moeten passende technische, operationele en organisatorische maatregelen worden genomen om de geïdentificeerde risico’s effectief te beheersen.
Inkoopbeleid: Organisaties moeten ervoor zorgen dat aangeschafte producten en systemen voldoen aan relevante cybersecuritywetgevingen, zoals RED- DA en de toekomstige CRA. Onafhankelijke keurmerken en testrapportages van geaccrediteerde instellingen dragen bij aan deze naleving.
Fysieke beveiliging: Naast digitale maatregelen moeten ook de fysieke locaties waarin systemen zich bevinden, zoals datacenters, adequaat worden beveiligd om ongeautoriseerde toegang en sabotage te voorkomen.

Het doel van deze zorgplicht is om de continuïteit van diensten te waarborgen en de gebruikte informatie te beschermen tegen incidenten die de werking van de systemen kunnen verstoren.

Naast de zorgplicht schrijft de NIS2-richtlijn een meldplicht voor. Dit betekent dat organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. In Nederland fungeert het Nationale Cyber Security Centrum (NCSC) als het CSIRT.

Er geldt een gefaseerde meldplicht:

Eerste melding: Een vroegtijdige waarschuwing die zo snel mogelijk, maar in ieder geval binnen 24 uur na waarneming van het incident, plaatsvindt.
Tweede melding: Een gedetailleerde incidentmelding die uiterlijk 72 uur na de eerste melding moet worden ingediend.
Derde melding: Een afsluitende melding met informatie over de opvolging van het incident en de genomen maatregelen.

De organisaties die onder de NIS2 directive eu vallen, staan onder toezicht. Er wordt gecontroleerd op het naleven van de zorg- en meldplicht. Als een organisatie na een controle niet voldoet aan de NIS2 richtlijn, kan de toezichthouder van de betreffende sector een boete opleggen. Het bepalen van de hoogte van deze boete is de verantwoordelijkheid van de lidstaten zelf, waarbij rekening wordt gehouden met de aard en ernst van de nalatigheid én de grote van de organisatie. De boetes voor de ernstigste gevallen van nalatigheid zijn als volgt (de minimale boete is altijd het hoogste bedrag van de gegeven opties):

Voor essentiële organisaties: Minimaal 10 miljoen euro of 2% van de wereldwijde jaaromzet.
Voor belangrijke organisaties: Minimaal 7 miljoen euro of 1,4% van de wereldwijde jaaromzet.

Waarom DEKRA voor NIS2 richtlijn?

Enisa is het Europees Agentschap voor netwerk- en informatiebeveiliging en verantwoordelijk voor het ervoor zorgen dat Europa cyberveilig wordt. Zij hebben laten weten dat er in de toekomst geen geharmoniseerde standaard van NIS komt. Neem contact op met een van onze experts om te bespreken hoe u zich het beste kunt laten certificeren om aan NIS2 te voldoen.

U bent zelf verantwoordelijk om conform NIS2-richtlijn te werken. Echter zal onafhankelijk certificeren door een certificeringsinstantie zoals DEKRA enorm bijdragen aan een gedegen compliance basis. Wij leveren certificaten waarmee u zelf kunt verklaren dat u voldoet aan NIS2. Bovendien geeft onafhankelijk testen een veel breder inzicht in het niveau van uw organisatie. Bijvoorbeeld of u volledig voldoet aan het essentiële keurmerk ISO 27001.

DEKRA heeft zich gepositioneerd als een toonaangevende expert op het gebied van cybersecurity. Met een diepgaande kennis en uitgebreide ervaring biedt DEKRA een breed scala aan diensten om organisaties te ondersteunen bij het naleven van de NIS2 richtlijn. Hier zijn enkele redenen waarom DEKRA wordt beschouwd als dé autoriteit op dit gebied:

1. Omvangrijke cybersecurity-diensten

2. Inzicht in regelgeving en normen

3. Ervaring en certificering

Hoe DEKRA organisaties helpt bij NIS2 compliance

Het naleven van de NIS2 richtlijn kan een uitdagend proces zijn, maar DEKRA biedt een gestructureerde benadering om organisaties door dit proces te leiden. Hier zijn enkele stappen die DEKRA onderneemt om organisaties te helpen bij NIS2 compliance:

Neem vrijblijvend contact op

NIS2 compliance is een complex en doorlopend proces dat vereist dat organisaties voortdurend hun beveiligingsmaatregelen evalueren en verbeteren. DEKRA's uitgebreide expertise, diepgaande kennis van regelgeving en normen, en jarenlange ervaring in cybersecurity maken ons dé autoriteit op het gebied van NIS2 compliance. Door samen te werken met DEKRA kunnen organisaties niet alleen voldoen aan de NIS2 richtlijn, maar ook hun algehele cybersecurity versterken en beter voorbereid zijn op de uitdagingen van de digitale toekomst.

Meer informatie over hoe DEKRA uw organisatie kan helpen bij het voldoen aan de NIS2 richtlijn? Neem vrijblijvend contact met op met een van onze experts.

NIS2 blogs

3 Resultaten

28 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

NIS2 cybersecurity

In deze blog bespreken we waarom DEKRA dé autoriteit is op het gebied van NIS2 compliance en hoe wij organisaties helpen bij het waarborgen van hun cyberveiligheid.

Bekijk artikel

14 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

ISO 27001 en NIS2

Deze blog geeft een bondig inzicht hoe deze cybersecurity-pijlers organisaties helpen bij het verbeteren van hun cyberbeveiliging en het voldoen aan regelgeving.

Bekijk artikel

01 okt 2024 Digitale & Productgerichte oplossingen / Cyber Security

NIS2 en IEC 62443

NIS2 en IEC 62443 vormen de kern van cybersecurity. Ontdek hoe deze richtlijnen uw organisatie helpen beschermen tegen een cyberaanval.

Bekijk artikel