Europese NIS2 richtlijn cybersecurity

Cybersecurity blijft een hot topic. Niet alleen vanwege het toenemende aantal hacks en ransomwareaanvallen, maar ook vanuit het perspectief van toezichthouders én de evoluerende wet- en regelgeving op dit gebied. Zo bereiden de Europese lidstaten zich nu voor op de omzetting van de Network and Information Security Directive 2 (NIS2) naar nationale wetgeving. Met uitgebreide ervaring op het snijvlak van certificering en cybersecurity kan Kiwa uw organisatie helpen te voldoen aan de richtlijn NIS2.

Ontvang een offerte op maat

+31 (0)88 998 49 00 Neem contact met ons op Vraag meer informatie aan

Kiwa beschikt over diepgaande expertise op het gebied van testen, inspecteren en certificeren. Door deze kennis te koppelen aan onze kennis van cybersecurity, IoT-consumentenelektronica en Industriële Automatisering en Controle Systemen (IACS) helpt Kiwa bij het verhogen van hun cyberweerbaarheid en het verkrijgen van certificeringen conform normen als ISO 27001, NEN 7510 en IEC 62443.

Wat is NIS2?

NIS2 gaat uit van een risicogestuurde aanpak van informatiebeveiliging van een organisatie. De beoogde informatiebeveiliging die in de NIS2 directive wordt beschreven, is echter breder dan alleen de maatregelen die in de NIS2 genoemd worden. NIS2 stelt een niveau van informatiebeveiliging die gehaald moet worden, zonder volledige invulling te geven aan de maatregelen die daarmee gepaard gaan.

’De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.’

NIS2 doelstellingen:

Het verhogen van de cyberweerbaarheid;
Het verbeteren van het bewustzijnsniveau;
Het mitigeren van cyberaanvallen.

Bereid u voor met een pre-audit/GAP-analyse

Bent u van plan om uw organisatie te laten certificeren volgens een specifieke norm, maar weet u niet precies waar te beginnen? Of heeft u al een managementsysteem opgezet conform bijvoorbeeld ISO 9001, ISO 27001 of ISO 14001, maar bent u onzeker over hoe goed het voldoet aan de eisen voor certificering? Ontdek alles over onze pre-audit/GAP-analyse.

Lees verder

Welke soorten organisaties worden onderscheiden?

1. Essentiële entiteiten:

Grote organisaties die actief zijn in een sector uit bijlage 1 van de NIS2-richtlijn (zie onderstaande tabel)
Een organisatie is ‘groot’ op basis van de volgende criteria:
1. Meer dan 250 werknemers; of
2. Een netto-omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

2. Belangrijke entiteiten

Middelgrote organisaties die actief zijn in een sector uit bijlage 1 en organisaties die actief zijn in een sector uit bijlage 2.
Een organisatie is ‘middelgroot’ op basis van de volgende criteria:
1. Minimaal 50 werknemers; of
2. Een jaaromzet of balanstotaal van meer dan 10 miljoen euro.

NIS2: Indeling sectoren

Sectoren bijlage 1	Sectoren bijlage 2
Energie Transport Bankwezen Infrastructuur financiële markt Gezondheidszorg Drinkwater Digitale infrastructuur Afvalwater Overheidsdiensten Ruimtevaart Beheer van ICT-diensten	Digitale aanbieders Post- en koeriersdiensten Afvalstoffenbeheer Levensmiddelen Chemische stoffen Onderzoek Maakindustrie/manufacturing

De NIS2-richtlijn brengt een aantal belangrijke wijzigingen met zich mee op het gebied van cybersecurity. Zo worden de eisen omtrent de handhaving van regels aangescherpt en zullen sancties in de hele EU gelden. Ook is het toepassingsgebied uitgebreid naar nieuwe sectoren. Bedrijven en organisaties waarop de richtlijn van toepassing is, moeten maatregelen nemen op het gebied van cyberrisicobeheer, penetratietesten, incident response en herstel. Als de organisatie niet voldoet aan de NIS2 directive loopt de organisatie het risico een financiële sanctie te krijgen, gebaseerd op de wereldwijde omzet.

Organisaties die goed voorbereid willen zijn op de komst van de NIS2-richtlijn doen er verstandig aan om niet af te wachten tot de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Maak een goede start met de volgende stappen:

Breng de fysieke en digitale risico’s die de continuïteit van uw organisatie kunnen verstoren in kaart;
Tref maatregelen om deze risico’s te mitigeren;
Stel procedures vast die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

Zorgplicht

Volgens de NIS2-richtlijn dienen entiteiten een zorgplicht te vervullen door zelf een risicobeoordeling uit te voeren. Op basis hiervan moeten zij passende maatregelen nemen om hun diensten te waarborgen en hun netwerk- en informatiesystemen te beschermen.

Meldplicht

Entiteiten dienen incidenten die de verlening van essentiële diensten aanzienlijk kunnen verstoren, binnen 24 uur te melden aan de toezichthouder. In geval van een cyberincident is het ook vereist om dit te melden bij het Computer Security Incident Response Team (CSIRT) voor mogelijke hulp en bijstand. Factoren die een incident meldingswaardig maken, zijn onder andere het aantal getroffen personen, de duur van de verstoring en potentiële financiële verliezen.

Registratieplicht

Entiteiten onder de NIS2-richtlijn moeten zich verplicht registreren. Deze registratie draagt bij aan een Europees overzicht van het aantal entiteiten dat onder de NIS2 valt.

Toezicht

Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht om de naleving van de richtlijn, inclusief de zorg- en meldplicht, te waarborgen. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder vallen.

Wanneer treedt NIS2 in werking?

Op 16 januari 2023 trad de NIS2 in werking. Het is nog niet duidelijk wanneer de wetgeving daadwerkelijk geïmplementeerd wordt. De verwachting is dat de Cyberbeveiligingswet in het derde kwartaal van 2025 in werking treedt.

Meer informatie

Direct toegang

Webinar: NIS2, wat komt er op ons af?

Kiwa, BDO, Microsoft en Samen Digitaal Veilig geven u in dit webinar praktische handvatten om volledig NIS2 compliant te worden, van organisatorische en technische implementatie tot certificering.

Kijk het webinar terug

Regelhulp voor bedrijven

De Rijksoverheid heeft twee tools die u helpen bij de volgende vragen:

Is NIS2 van toepassing op mijn organisatie? Doe de zelfevaluatie;
Hoe ver is mijn organisatie voorbereid op NIS2 implementatie? Doe de quickscan.

Zet een belangrijke stap richting cyberveiligheid en bekijk de Cyberbeveiligingswet/ NIS2 gids.

Gerelateerde diensten

IEC 62443 certificering: Cybersecurity voor Industrial Automation & Control Systems (IACS)

De IEC 62443-standaard is bedoeld om Industrial Automation & Control Systems (IACS) te beveiligen. Het biedt een systematische en praktische aanpak die elk aspect van cyberbeveiliging voor industriële systemen omvat.

ISO 27001 certificering: bescherm uw bedrijfsinformatie

ISO 27001 certificatie helpt u informatiebeveiliging gestructureerd aan te pakken. Kiwa's experts hebben alles in huis om uw organisatie voor te bereiden op ISO 27001 certificering. We hebben veel ervaring met ISO 27001 certificatie, van stappenplan tot information security management systeem (ISMS).

NEN 7510 certificering: zorg voor uw vertrouwelijke informatie

Kiwa beschikt over veel ervaring met betrekking tot de NEN 7510 certificeringen. Deze norm betreft de eisen voor informatiebeveiliging in de zorg. Kijk hier voor meer info!

CCV-keurmerk Cybersecurity Awareness Training

Wilt u als aanbieder van awareness-trainingen rondom cybersecurity aantonen dat uw dienstverlening van hoge kwaliteit is? Vanaf 1 mei 2025 kunt u zich laten certificeren conform het CCV-keurmerk Awareness Training.