Ga naar hoofdinhoud

NIS2-richtlijn in werking gesteld voor EU-lidstaten

Op 16 januari 2023 trad de NIS2-richtijn in werking als opvolger van de NIS-richtlijn. NIS staat voor Network and Information Security directive. De vernieuwde richtlijn heeft als doel om cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De Europese Unie verwacht van deze lidstaten dat ze de nodige voorschriften invoeren en publiceren vóór 17 oktober 2024. Wat betekent deze richtlijn en wat moet u doen? Wij bereiden u er graag op voor.

Waarom is de NIS2-richtlijn nodig?

De oorspronkelijke Network and Information Security (NIS)-richtlijn was bedoeld om een gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten van de Europese Unie te bereiken. Het vergrootte de mogelijkheden voor cyberbeveiliging, maar bij de implementatie kwamen uitdagingen kijken. Dit leidde tot verdeling op de markt. De Europese Commissie stelde voor om NIS2 als vervanging voor de NIS-richtlijn te introduceren. De richtlijn stelt strengere beveiligingsnormen en meldingseisen voor incidenten. Bovendien focust de NIS2-richtlijn zich op een aantal nieuwe sectoren ten opzichte van de eerste NIS-richtlijn, waaronder digitale aanbieders, post- en koeriersdiensten en manufacturing.

De nieuwe veranderingen opgesomd

De NIS2-richtlijn wordt momenteel naar de Nederlandse wetgeving vertaald. Er zal stapsgewijs meer duidelijk worden over de concrete invullen van de richtlijn. We benoemen alvast de belangrijkste kenmerken:

  • De NIS2-richtlijn richt zich op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten en moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.
  • De NIS2-richtlijn omvat nu ook de sector Overheid, maar biedt een uitzondering voor overheidsinstanties die vooral activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving.
  • De NIS2-richtlijn legt verplichtingen op zoals een zorgplicht waarbij entiteiten zelf een risicobeoordeling moeten doen en passende maatregelen moeten nemen. Ook komt er een meldplicht voor incidenten binnen 24 uur en toezicht door een onafhankelijke toezichthouder.
  • Organisaties kunnen zich alvast voorbereiden door te voldoen aan bestaande kaders voor informatiebeveiliging bij de overheid, zoals de Baseline Informatiebeveiliging Overheid (BIO).

Bereid u voor op NIS2!

Het is een belangrijke eerste stap om te voldoen aan de bestaande kaders voor informatiebeveiliging bij de overheid, zoals de Baseline Informatiebeveiliging Overheid (BIO). Dit vormt de basis om invulling te geven aan de verplichtingen van NIS2. Organisaties die voorheen nog niet aan de richtlijnen voor informatiebeveiliging voldeden, zijn hier vanuit NIS2 nu wel toe verplicht.  U kunt alvast beginnen met het zetten van de volgende stappen:

  • Check of uw organisatie mogelijk onder de NIS2-richtlijn valt;
  • Identificeer eventuele gebreken in relatie tot de vereisten van de richtlijn;
  • Bepaal welke maatregelen nodig zijn om aan de verlichtingen in het management te voldoen;
  • Ontwikkel een robuust cybersecurity-kader dat zowel organisatorische als technische maatregelen omvat;
  • Implementeer deze zorgvuldig gekozen maatregelen binnen uw bedrijf;
  • Ontwerp en implementeer monitoringsmechanismen die voortdurend de effectiviteit van deze maatregelen valideren.

Hoe de EU-richtlijn uiteindelijk vertaald zal worden naar nationale wetgeving en wat het tijdschema hiervoor is, vindt u op de website van het Ministerie van Justitie en Veiligheid.

Samen aan de slag met NIS2?

Onze informatiebeveiliging-professionals helpen u graag met de voorbereiding van uw organisatie op de NIS2-richtlijn. Wilt u meer informatie over informatiebeveiliging? Neem gerust vrijblijvend contact met ons op voor meer informatie.

Back To Top