De NIS2 komt eraan: wat betekent dit voor jouw bedrijf?
Er komt nieuwe wetgeving aan in oktober 2024: de Europese Network & Information Security Directive (NIS2). Deze richtlijn is gericht op een verbetering van de digitale weerbaarheid van Europese lidstaten. Een ingrijpende wet, zeker voor de digitale sector. Onze public policy manager Jelmer Schreuder legt uit wat dit voor jouw bedrijf betekent.
Context
In het Nederlands is de NIS2-richtlijn bekend als de Netwerk en Informatie Beveiliging Richtlijn (NIB2). Het is een wet die hogere eisen stelt aan cybersecurity van de grotere gebruikers van digitale technieken. Momenteel kennen we al de NIS1. Deze is in Nederland ingevoerd als de Wet beveiliging netwerk- en Informatiesystemen (Wbni) en is van toepassing op grote overheden en ‘vitale’ bedrijven. Met de nieuwe wet wordt deze doelgroep enorm uitgebreid. Ook middelgrote bedrijven gaan er direct onder vallen. Daarnaast krijg je er indirect mee te maken als jouw klant onder deze wet komt te vallen. Dit geldt dus ook voor kleine bedrijven die leveren aan grote organisaties.
Voor een algemene uitleg over de NIS2 verwijzen we je graag naar de uitleg van het Digital Trust Center. In dit artikel gaan we vooral in op de impact op de digitale sector.
Wanneer val je onder de NIS2?
Je kunt zowel direct als indirect onder de NIS2 vallen. Of je er direct onder komt te vallen kan je achterhalen met de NIS2 Zelfevaluatietool van de overheid. Deze tool is ook te gebruiken door je klanten om te achterhalen of zij eronder komen te vallen.
Direct
Je valt direct onder de NIS2 als je in een (deel)sector valt waar de NIS2 eisen aan stelt. Voor de digitale sector betreft dit de sectoren ‘Digitale infrastructuur’, ‘Beheerders van ICT-diensten’ (MSPs en MSSPs) en ‘Digitale aanbieders’. Deze definities zijn zeer breed en met name de MSP-definitie zal het gros van de digitale sector omvatten: “een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de consument ter plaatse of op afstand”. Daarnaast moet je ook een minimale omvang hebben.
Indirect
Je kunt ook indirect onder de NIS2 vallen. Dit gebeurt als je een directe leverancier bent van een organisatie die onder de NIS2 komt te vallen. Zij zijn verplicht deze eisen ook door te vertalen naar hun leveranciers. Bij controle moet je dan kunnen aantonen dat leveranciers aan die eisen voldoen. In dit geval zal je dus niet zelf onder toezicht komen te staan, maar zal je aan je klant wel alle informatie moeten kunnen aanleveren om aan te tonen dat jouw diensten aan die eisen voldoen. Vraag je klant of zij hieronder vallen. Dit zullen ze veelal nog niet weten. Ze kunnen gebruik maken van de NIS2 Zelfevaluatietool om dit te achterhalen.
Wat betekent het om onder de NIS2 te vallen?
Er zijn twee regimes onder de NIS2: voor belangrijke en voor essentiële bedrijven. Het verschil tussen deze categorieën is of je actief (ex ante) of passief (ex post) onder toezicht komt. Voor de digitale sector betekent dit:
- Je bent essentieel wanneer je actief bent in sectordefinitie ‘Digitale infrastructuur’ of ‘Beheerders van ICT-diensten’ en minimaal 250 werknemers hebt. Of een jaaromzet van tenminste € 50 miljoen en een balanstotaal van tenminste € 43 miljoen.
- Je bent belangrijk wanneer je niet essentieel bent en actief bent in sectordefinitie ‘Digitale infrastructuur’, ‘Beheerders van ICT-diensten’ of ‘Digitale aanbieders’ en minimaal 50 werknemers hebt, of een jaaromzet en balanstotaal van tenminste € 10 miljoen.
Wanneer je onder deze definities valt moet je voldoen aan een zorgplicht, een meldplicht en kom je onder actief of passief toezicht te staan van de toezichthouder van de sector waar je binnen valt. In het geval van de digitale sector zal dat de Rijksinspectie Digitale Infrastructuur zijn (RDI, voorheen het Agentschap Telecom of de AT). Passief toezicht (ex post) houdt in dit geval in dat de RDI alleen controles uitvoert na beveiligingsincidenten of wanneer bij hen een melding binnenkomt dat je organisatie zich niet aan de wet houdt. Actief toezicht (ex ante) houdt in dat de RDI op ieder moment kan komen controleren.
NLdigital pleit voor een constructieve wijze van toezicht, waarbij de RDI met de organisaties kijkt of de beveiliging voldoet en hoe ze deze kunnen verbeteren. Wij vinden dat juist door samen te werken aan deze uitdagingen, je tot echte hogere veiligheid komt. Dit in plaats van alleen handhaving achteraf. Duidelijkheid vooraf komt bovendien de zekerheid van ondernemen ten goede. De RDI heeft op dit vlak een positieve reputatie in het verleden en heeft ook aangegeven op een constructieve wijze te willen gaan handhaven. Hierover gaan wij volgend jaar in overleg met sector en toezichthouder.
Wat kan je nu al doen om je voor te bereiden?
Voor veel digitale bedrijven zal de NIS2 geen enorme omslag betekenen. De zorgplicht-eisen uit de NIS2 lijken in grote mate overeen te komen met de ISO27001, waar veel bedrijven uit onze sector al aan voldoen. Dit betekent dat je als organisatie verplicht bent om zelf een risicobeoordeling uit te voeren. Op basis van die analyse moet je passende maatregelen nemen om de continuïteit van je diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Deze analyse, de afweging achter de maatregelen en genomen maatregelen moet je ook goed vastleggen en aantoonbaar kunnen maken.
De meldplicht uit deze wet schrijft ook voor dat organisaties beveiligingsincidenten binnen 24 uur moeten melden bij de RDI, als deze incidenten de dienstverlening aanzienlijk (kunnen) verstoren. Voor de digitale sector zullen beveiligingsincidenten gemeld moeten worden bij het Nationaal Cyber Security Centrum (NCSC). Zij worden het aangewezen nationale Computer Security Incident Response Team (CSIRT) van onze sector. Zij kunnen vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Hoe kan ik het straks aantonen?
Houd hiervoor onze website in de gaten en deel ook vooral goede ideeën met ons! Voor organisaties die al volledig ISO27001 gecertificeerd zijn verwachten wij geen grote gevolgen, anders dan dat de meldplicht-eisen in de bedrijfsprocessen verankerd zullen moeten worden. Maar ISO27001 is niet voor iedereen haalbaar. Om die reden verkennen wij onder andere een samenwerking met CYRA (zij leveren een vorm van zelfassessment en certificering). Met name wanneer je indirect onder de NIS2 valt en aan je klanten goede processen moet aantonen, kan dat een goede optie blijken. Ben je lid van NLdigital en wil je hier meer over weten, of met andere leden over in gesprek gaan? Neem dan contact op met Jelmer Schreuder.
Gerelateerde artikelen
Cyber Resilience Act: verplicht cybersecurity CE-markering voor alle hard- en software
Zorgplicht rondom cybersecurity: hoe maak je goede afspraken?
