De afgelopen jaren hebben we als samenleving te maken met diverse ontwikkelingen en met toenemende mate op het gebied van veiligheid van onze maatschappij. Het zet daarbij de economie onder druk. Denk hierbij aan de COVID-19 pandemie, de oorlog in Oekraïne en cyberdreigingen. Naar aanleiding van dit soort ontwikkelingen heeft de Europese Unie gewerkt aan de Network and Information Security directive (NIS2). Deze richtlijn is ervoor bedoeld om Europese lidstaten te laten verbeteren op het gebied van digitale en economische weerbaarheid.
De NIS2 wetgeving is een vervolg op de NIS-richtlijn uit 2016. Deze NIS-richtlijn was de eerste wetgeving op Europees niveau die gericht was op cybersecurity. De NIS-richtlijn had echter een aantal beperkingen, zoals een beperkt toepassingsgebied en gebrek aan harmonisatie tussen de lidstaten. Om deze beperkingen weg te nemen, is de NIS2 wetgeving ontwikkeld. Deze wetgeving heeft als doel om de cybersecurity in de Europese landen te versterken en om de samenwerking tussen de lidstaten op dit gebied te verbeteren. De NIS2 wetgeving is van toepassing op een breder scala aan organisaties dan de NIS-richtlijn en bevat specifieke vereisten voor de beveiliging van netwerken en informatiesystemen.
Samen kijken hoe uw cyberweerbaarheid ervoor staat?
Blog formulier Basis
Heeft u vragen of opmerkingen? U kunt ons bereiken op kantoortijden via het telefoonnummer of laat een bericht achter in het onderstaande contactformulier.
Verplichtingen die de NIS2 wetgeving voor schrijft zijn als volgt
- Zorgplicht – die organisaties verplicht risicobeoordelingen uit te voeren en op basis daarvan (technische) maatregelen door te voeren om zo goed als mogelijk de diensten en gebruikte informatie te beveiligen;
- Meldplicht – die organisaties verplicht binnen 24 uur incidenten die de diensten/informatie verstoren te melden bij de toezichthouder;
- Toezicht – de organisaties die onder de richtlijn zullen vallen komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen.
In januari 2023 is de implementatietermijn van 21 maanden gestart voor Nederland. Dit is de termijn waarin de wetgeving moet worden opgenomen in de nationale wetgeving. Naar verwachting zal de wet eind 2024 in werking treden. Organisaties die onder de richtlijnen vallen moeten vanaf dat moment voldoen aan de verplichtingen die worden voorgeschreven.
Organisaties die onder de richtlijnen gaan vallen adviseren wij om alvast de volgende zaken op te gaan pakken om goed voorbereid te zijn:
- Inventariseren en analyseren van risico’s;
- Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing;
- Bewustwording van personeel omtrent cyberdreigingen;
- Het nemen van maatregelingen tegen cyberdreigingen.