Leestijd: 3 minuten

NIS 2: wat is het?

NIS is een afkorting voor “Network and Information Security” en de NIS 2-richtlijn van eind 2022 vervangt de vorige NIS-richtlijn uit 2016. De NIS 2-richtlijn is een Europese richtlijn. Zij bevat maatregelen die voor een hoog gezamenlijk niveau van cyberbeveiliging in de Europese Unie moeten zorgen. Op het moment van schrijven worden de regels van NIS 2 omgezet naar Nederlandse wetgeving.

De eerste NIS-richtlijn is in Nederland omgezet naar de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet zal dus aangepast moeten worden. De strengere regels uit de NIS 2-richtlijn dienen uiterlijk op 18 oktober 2024 omgezet te zijn in Nederlandse wetgeving. Ze gaan dan gelden voor alle bedrijven en organisaties die als essentieel of belangrijk worden beschouwd.

Essentiële en belangrijke organisaties

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de werking van de NIS 2-richtlijn vallen als zij actief zijn in een van de onderstaande sectoren en volgens de daaronder staande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Sectoren

Sectoren uit bijlage ISectoren uit bijlage II
  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Essentieel of belangrijk

EssentieelBelangrijk
  • Grote organisaties die actief zijn in een sector uit bijlage 1
  • Een organisatie is groot wanneer:
    • zij minimaal 250 werknemers heeft; of
    • een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen heeft.
  • Middelgrote organisaties die actief zijn in een sector uit bijlage I
  • Middelgrote en grote organisaties die actief zijn in een sector uit bijlage II
  • Een organisatie is middelgroot wanneer:
    • zij minimaal 50 werknemers heeft; of
    • een jaaromzet en balanstotaal heeft van meer dan € 10 miljoen.

Over het algemeen wordt aangenomen dat de uitval van essentiële organisaties zal leiden tot een grotere ontwrichtende impact op de economie en de samenleving. Daarom vallen die onder de meest intensieve regels uit de NIS 2. Op die entiteiten zal zowel vooraf als achteraf toezicht worden gehouden. Voor belangrijke organisaties geldt dat toezicht enkel achteraf plaatsvindt, bijvoorbeeld na een incident of een melding.

Hoewel micro- en kleine bedrijven in beginsel niet onder de regels van NIS 2 vallen, zijn daar uitzonderingen op. Bijvoorbeeld aanbieders van vertrouwensdiensten, registers van topleveldomeinnamen, dienstverleners van domeinnaamregistraties en aanbieders van openbare communicatienetwerken- of diensten. Ook kan de minister een micro- of klein bedrijf aanwijzen op grond van een risicobeoordeling.

Strengere regels en ruimere aansprakelijkheid

Als een organisatie onder de regels van NIS 2 valt, dan betekent dat de verplichting om de regels daaruit na te leven. Deze regels dwingen tot het nemen van beveiligingsmaatregelen en er zijn ook rapportageverplichtingen. Een organisatie kan verplicht worden de juiste certificeringen te behalen en ernstige incidenten aan de relevante autoriteiten te melden. Daarnaast is er het toegenomen risico op aansprakelijkheid. Als een  onderneming niet aan de NIS 2-richtlijn voldoet en daardoor gevoelige informatie lekt, kan een aansprakelijkheidstelling volgen en dat geldt zelfs voor het bestuur.

Per sector geldt een andere toezichthouder. Het Europees Agentschap voor Cyber Security (ENISA) heeft die onderverdeling in een visuele tool uitgewerkt voor alle lidstaten.

Zelf-evaluatie tool

Het is belangrijk dat organisaties zich goed kunnen voorbereiden op wat gaat komen. Zij dienen daarom nu al te kunnen inschatten of zij straks ook aan de NIS 2-regels moeten gaan voldoen. Daarom heeft de Rijksinspectie Digitale Infrastructuur (RDI) recentelijk een tool voor zelf-evaluatie gelanceerd. Organisaties kunnen daarmee nu al onderzoeken of de NIS2-richtlijn van toepassing is op hen, of hun organisaties essentieel of belangrijk zijn en of deze vallen onder Nederlands toezicht.

NIS 2 Zelfevaluatie NL

Tot slot

Bovenstaande tool is uitsluitend indicatief bedoeld. De uitkomst is uiteraard zo betrouwbaar als de juistheid van de door de gebruiker ingevoerde informatie over de sector, omvang of vestigingsplaats. De RDI adviseert alsnog om in twijfelgevallen contact op te nemen met een deskundige. Uiteraard houdt NORD Advocaten zich aanbevolen.

NIS 2
Geplaatst op 25 oktober 2023 door Koen Konings