De Network and Information Security Directive, afgekort tot NIS2, is een nieuwe Europese richtlijn die in het leven is geroepen om organisaties beter te beschermen tegen cyberdreigingen. Er is al veel commotie ontstaan bij organisaties omdat het moeilijk is om de richtlijn helder te interpreteren. Omdat er nog geen Nederlandse wetgeving is, is het moeilijk om in te zien wat de richtlijn precies teweeg gaat brengen voor organisaties. De Nederlandse vertaling wordt namelijk pas dit najaar verwacht en wordt medio 2025 van kracht. Tegelijkertijd wordt de Europese richtlijn al wel van kracht op 17 oktober.
Wat staat je als organisatie nou te wachten? De komende periode publiceren we vanuit M&I/Partners vier artikelen over de NIS2 waarin we ingaan op de achtergrond en context van de NIS2, de (nieuwe) eisen die erop gelegd worden, de samenhang tussen de NIS2 met bestaande beveiligingsnormen in overheid en zorg, en waar je als organisatie het beste mee kan beginnen om volgens de richtlijn te gaan werken. Vandaag deel 1: “De achtergrond en context van NIS2.”
De NIS2 is een richtlijn die in het leven is geroepen door de Europese Unie. In het kort is het doel om de digitale weerbaarheid van organisaties binnen de EU te vergroten door het opstellen van uniforme kaders, het vergemakkelijken van uitwisselen van kennis over dreigingen en het creëren van een cultuur die gericht is op informatiebeveiliging. Belangrijk om te weten is dat de richtlijn dus niet alleen harde regels voorschrijft, zoals het maken van een risicoanalyse, maar juist ook veel ruimte biedt aan organisaties voor het invullen van onder andere de samenwerking.
Waar de voorganger van de NIS2, de Netwerk- en informatiebeveiliging-richtlijn (NIB), met name nog focuste op kritieke bedrijven en publieke organisaties, is het toepassingsgebied en de scope van de NIS2 breder. Dit is ook niet zo gek gezien het toenemende belang van cybersecurity in deze tijd. Daarnaast laat de NIS2 ook minder interpretatieruimte open voor lidstaten wat betreft de reikwijdte van de wet. Daarnaast geeft het meer verantwoordelijkheid aan organisaties op het gebied van informatiebeveiliging. Zo konden lidstaten eerder bepaalde sectoren nog uitsluiten onder de NIB (zoals in Nederland gebeurde met de zorgsector) waar dat onder de NIS2 niet meer kan. Ook wordt de cyberveiligheid van toeleveringsketens nu expliciet benoemd als een verantwoordelijkheid van organisaties.
Om te bepalen of jouw organisatie onder de NIS2 valt is het eerst van belang om te kijken of je actief bent in een van de onderstaande sectoren die benoemd worden via deze link van het NCSC. Zo ja, dan valt je organisatie sowieso onder de NIS2 met alle plichten en verantwoordelijkheden die daarbij komen kijken. Werk je in de zorg? Dan is de vraag of je eraan moet voldoen eenvoudig te beantwoorden en moet je de richtlijn volgen.
Voor de overheid is het nog niet helemaal helder. De wet is voor rijksoverheidsorganisaties en provincies het verplicht, evenals voor gemeenten (volgens het besluit van het Ministerie van Binnenlandse Zaken). Of andere overheidsorganisaties de richtlijn moeten volgen moet nog blijken uit toekomstige besluiten van de overheid.
Officieel gaat de NIS2 in op 17 oktober 2024. Iedere lidstaat moet de richtlijn vertalen naar eigen wet- en regelgeving. Nederland heeft al aangegeven dit niet te redden voor 17 oktober 2024 [1]. De verwachting is dat er pas medio 2025 nationale wetgeving beschikbaar is. De reden dat het in Nederland langer duurt is omdat de afstemming tussen sectoren en verschillende toezichthouders veel tijd kost [2]. Dit betekent niet dat je als organisatie achterover kunt leunen. Ongeacht de planning en deadlines van de wetgeving is het belangrijk om nu al te beginnen om je organisatie te bewapenen met de NIS2 om weerbaarder te zijn op het gebied van informatiebeveiliging!
In de komende blogreeks nemen wij je mee door de NIS2 en wat het gaat betekenen voor jouw organisatie. Hoewel de Nederlandse vertaling nog op zich laat wachten, is er al voldoende informatie in de bestaande richtlijn beschikbaar om vooruit te kijken: wat staat jouw organisatie te wachten? Het is hierbij belangrijk om te beseffen dat, hoewel een aantal zaken in de richtlijn duidelijk lijken te zijn, er nog veel niet officieel is vastgesteld. Wat we al wel kunnen zeggen is dat wanneer je organisatie al werkt volgens bestaande informatiebeveiligingsnormen (zoals de BIO voor de overheid en de NEN7510 voor de zorg) de impact niet al te groot zal zijn. Anders zal er nog wel veel werk liggen.
Misschien vind je dit ook interessant om te lezen: De NIS2 uitgelegd: wat moet je ermee?
Door een gebrek aan duidelijkheid schieten veel gemeenten in de kramp als het aankomt op de AVG. Door deze kramp, krijgen privacy en de AVG niet alleen een ‘slechte’ naam, maar wordt (samen)werken onmogelijk. Iets wat volgens mij niet de bedoeling lijkt van deze wet.
Lees verder
