De EU heeft een nieuwe richtlijn op het gebied van cybersecurity ontworpen: de NIS2-richtlijn. De NIS2-richtlijn is de opvolger van de NIS1-richtlijn. NIS1 en NIS2 zijn Europese richtlijnen die als doel hebben eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging. Daarnaast proberen de richtlijnen de schadelijke gevolgen van cybercrime te beperken.
Nederland is sinds 2023 bezig om de richtlijn te implementeren in het Nederlandse rechtssysteem. Organisaties die onder de NIS2-richtlijn vallen, dienen zich te houden aan bepaalde veiligheidsnormen en meldingsvereisten voor incidenten.
De Nederlandse overheid heeft al laten weten dat ze de deadline voor het implementeren van de richtlijn niet gaat halen. Het is nog onduidelijk wanneer dit wel gaat lukken. Het is alsnog belangrijk om als organisatie alvast goed op de hoogte te zijn!
Wat is er anders?
Eén van de belangrijkste verschillen is dat er veel meer organisaties vallen onder de NIS2-richtlijn. De richtlijn richt zich niet alleen op grote essentiële organisaties die expliciet zijn aangewezen, zoals onder de NIS1-richtlijn. Organisaties vallen automatisch onder de NIS2-richtlijn als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als een ‘essentiële’ of ‘belangrijke’ entiteit. Er is dus een grotere kans dat jouw organisatie óók onder de NIS2-richtlijn valt. Ook is deze richtlijn relevant als je er zelf niet onder valt, maar jouw klanten wel. De eisen uit de richtlijn worden dan aan jou doorgelegd.
Welke sectoren en organisaties vallen onder de NIS2-richtlijn?
Allereerst moet jouw organisatie in Nederland gevestigd zijn en onder één van de volgende sectoren vallen:
Sectoren bijlage I
- Energie
- Transport
- Infrastructuur financiële markt
- Gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Beheerders van ICT Diensten
- Bankwezen
Sectoren bijlage II
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging
Zoals hiervoor benoemd moet de organisatie ook gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Essentiele entiteit
Hier vallen onder:
- Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn. Als jouw organisatie hieronder valt, dan ontvang je hier vanzelf bericht over vanuit de overheid. Hier hoef je zelf niets voor te doen.
- Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
Een organisatie is groot op basis van de volgende criteria:
- Minimaal 250 werknemers, of;
- Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
Belangrijke entiteit
Hier vallen onder:
- Middelgrote organisaties die actief zijn in een sector uit bijlage I.
Een organisatie is middelgroot op basis van de volgende criteria:
- Minimaal 50 werknemers, of;
- een jaaromzet en balanstotaal van meer dan 10 miljoen euro
- Middelgrote én grote organisaties die actief zijn in een sector uit bijlage II.
Let op, jouw organisatie kan maar onder één van de twee type entiteiten vallen, essentieel óf belangrijk. Dit is van belang, omdat voor essentiële entiteiten andere verplichtingen gelden dan voor belangrijke entiteiten. Essentiële entiteiten krijgen een veel intensiever toezicht, waarbij het naleven van de verplichtingen voor- en achteraf wordt getoetst. Bij een belangrijke entiteit vindt het toezicht alleen achteraf plaats.
Uitsluitingsgronden
Het is belangrijk om te kijken of er uitsluitingen zijn voor jouw organisatie. Als dit het geval is, is de NIS2-richtlijn niet van toepassing voor jouw organisatie. Als er al sectorspecifieke cyberwetgeving van toepassing is op jouw organisatie en deze gelijkwaardig is aan de NIS2-richtlijn, gaat bijvoorbeeld de sectorspecifieke wetgeving voor.
Hulp nodig?
Wij houden alle ontwikkelingen omtrent de NIS2-richtlijn in de gaten, zo volgt er binnenkort een blog met meer informatie over de verplichtingen van de richtlijn. Wil jij weten of jouw organisatie onder de NIS2-richtlijn valt of dat er een uitsluiting geldt voor jouw organisatie? Neem dan contact met ons op via info@privacycoaches.nl en wij helpen je graag!