Wat is NIS 2?

31 oktober 2024

Er komt nieuwe Europese wetgeving aan: de NIS2-richtlijn, die officieel ingaat per oktober 2024. Voor Nederland wordt de invoering iets later verwacht, waarschijnlijk in het derde kwartaal van 2025.

Wat is NIS-2 en waarom is het belangrijk voor jouw organisatie?

Er komt nieuwe Europese wetgeving aan: de NIS2-richtlijn, die officieel ingaat per oktober 2024. Voor Nederland wordt de invoering iets later verwacht, waarschijnlijk in het derde kwartaal van 2025. Deze wet heeft als doel de digitale weerbaarheid in Europa te verhogen en gaat strenge eisen stellen aan cybersecurity, specifiek voor organisaties die actief zijn in digitale infrastructuur, ICT-diensten en andere vitale sectoren.

Wat betekent NIS2 voor jouw bedrijf?

De NIS2-richtlijn geldt voor een breed scala aan bedrijven en sectoren, waaronder ook middelgrote bedrijven en leveranciers van kritieke diensten. Werk je in de sector digitale infrastructuur, ICT-diensten of lever je diensten aan bedrijven die onder NIS2 vallen? Dan krijg je mogelijk met deze wet te maken, zelfs als je zelf geen grote organisatie bent. De wet kan ook indirect op jouw bedrijf van toepassing zijn, bijvoorbeeld als je klant of afnemer wel onder de richtlijn valt.

Twee soorten toezicht

De NIS2 kent twee niveaus van toezicht, afhankelijk van de omvang en sector van je bedrijf:

  • Essentieel toezicht: Dit geldt voor grote bedrijven in digitale infrastructuur en ICT-diensten (zoals Managed Service Providers). Deze bedrijven moeten voldoen aan strenge eisen en kunnen op ieder moment gecontroleerd worden.
  • Belangrijk toezicht: Dit geldt voor middelgrote bedrijven in dezelfde sectoren. Voor deze bedrijven gelden dezelfde cybersecurity-eisen, maar toezicht vindt alleen plaats na incidenten of meldingen.

Voor de digitale sector is de Rijksinspectie Digitale Infrastructuur (RDI) aangewezen als toezichthouder, die toezicht zal houden op de naleving van de richtlijn.

Wat moet je doen om compliant te zijn?

Om aan de NIS2 te voldoen, moet je aan bepaalde zorg- en meldplichten voldoen. Dit betekent dat je:

  1. Een risicobeoordeling uitvoert op je IT-systemen en passende beveiligingsmaatregelen neemt om de continuïteit van je diensten te waarborgen.
  2. Incidenten die je dienstverlening kunnen verstoren, binnen 24 uur meldt aan de RDI en het CSIRT (Computer Security Incident Response Team).

Deze eisen sluiten aan bij bekende standaarden zoals ISO27001. Voor bedrijven die al ISO27001-gecertificeerd zijn, zal de aanpassing naar NIS2 vaak beperkt blijven tot het invoeren van een meldproces. Voor bedrijven zonder certificering is het slim om nu alvast te kijken naar interne maatregelen en zelfevaluaties om naleving te kunnen aantonen.

Hoe helpen wij jou?

Bij Solid Partners hebben we ervaring met cybersecurity en compliance, en we helpen je graag op weg met de NIS2-richtlijn. Of je nu directe ondersteuning zoekt bij het implementeren van een stappenplan, of gewoon wat meer duidelijkheid wilt over wat de wetgeving precies voor jouw bedrijf betekent – wij staan voor je klaar. Zo zorgen we er samen voor dat je voorbereid bent en voldoet aan de eisen van de NIS2.