De achtergrond en context van NIS2


De Network and Information Security Directive, afgekort tot NIS2, is een nieuwe Europese richtlijn die in het leven is geroepen om organisaties beter te beschermen tegen cyberdreigingen. Er is al veel commotie ontstaan bij organisaties omdat het moeilijk is om de richtlijn helder te interpreteren. Omdat er nog geen Nederlandse wetgeving is, is het moeilijk om in te zien wat de richtlijn precies teweeg gaat brengen voor organisaties. De Nederlandse vertaling wordt namelijk pas dit najaar verwacht en wordt medio 2025 van kracht. Tegelijkertijd wordt de Europese richtlijn al wel van kracht op 17 oktober.

Wat staat je als organisatie nou te wachten? De komende periode publiceren we vanuit M&I/Partners vier artikelen over de NIS2 waarin we ingaan op de achtergrond en context van de NIS2, de (nieuwe) eisen die erop gelegd worden, de samenhang tussen de NIS2 met bestaande beveiligingsnormen in overheid en zorg, en waar je als organisatie het beste mee kan beginnen om volgens de richtlijn te gaan werken. Vandaag deel 1: “De achtergrond en context van NIS2.”

Wat is de NIS2?

Wat houdt de NIS2 in?

De NIS2 is een richtlijn die in het leven is geroepen door de Europese Unie. In het kort is het doel om de digitale weerbaarheid van organisaties binnen de EU te vergroten door het opstellen van uniforme kaders, het vergemakkelijken van uitwisselen van kennis over dreigingen en het creëren van een cultuur die gericht is op informatiebeveiliging. Belangrijk om te weten is dat de richtlijn dus niet alleen harde regels voorschrijft, zoals het maken van een risicoanalyse, maar juist ook veel ruimte biedt aan organisaties voor het invullen van onder andere de samenwerking.

Waarom de NIS2?

Waar de voorganger van de NIS2, de Netwerk- en informatiebeveiliging-richtlijn (NIB), met name nog focuste op kritieke bedrijven en publieke organisaties, is het toepassingsgebied en de scope van de NIS2 breder. Dit is ook niet zo gek gezien het toenemende belang van cybersecurity in deze tijd. Daarnaast laat de NIS2 ook minder interpretatieruimte open voor lidstaten wat betreft de reikwijdte van de wet. Daarnaast geeft het meer verantwoordelijkheid aan organisaties op het gebied van informatiebeveiliging. Zo konden lidstaten eerder bepaalde sectoren nog uitsluiten onder de NIB (zoals in Nederland gebeurde met de zorgsector) waar dat onder de NIS2 niet meer kan. Ook wordt de cyberveiligheid van toeleveringsketens nu expliciet benoemd als een verantwoordelijkheid van organisaties.

Moet mijn organisatie voldoen aan de NIS2?

Om te bepalen of jouw organisatie onder de NIS2 valt is het eerst van belang om te kijken of je actief bent in een van de onderstaande sectoren die benoemd worden via deze link van het NCSC. Zo ja, dan valt je organisatie sowieso onder de NIS2 met alle plichten en verantwoordelijkheden die daarbij komen kijken. Werk je in de zorg? Dan is de vraag of je eraan moet voldoen eenvoudig te beantwoorden en moet je de richtlijn volgen.

Voor de overheid is het nog niet helemaal helder. De wet is voor rijksoverheidsorganisaties en provincies het verplicht, evenals voor gemeenten (volgens het besluit van het Ministerie van Binnenlandse Zaken). Of andere overheidsorganisaties de richtlijn moeten volgen moet nog blijken uit toekomstige besluiten van de overheid.

Waarom duurt het lang?

Officieel gaat de NIS2 in op 17 oktober 2024. Iedere lidstaat moet de richtlijn vertalen naar eigen wet- en regelgeving. Nederland heeft al aangegeven dit niet te redden voor 17 oktober 2024 [1]. De verwachting is dat er pas medio 2025 nationale wetgeving beschikbaar is. De reden dat het in Nederland langer duurt is omdat de afstemming tussen sectoren en verschillende toezichthouders veel tijd kost [2]. Dit betekent niet dat je als organisatie achterover kunt leunen. Ongeacht de planning en deadlines van de wetgeving is het belangrijk om nu al te beginnen om je organisatie te bewapenen met de NIS2 om weerbaarder te zijn op het gebied van informatiebeveiliging!

Wat gaat het voor mijn organisatie betekenen?

In de komende blogreeks nemen wij je mee door de NIS2 en wat het gaat betekenen voor jouw organisatie. Hoewel de Nederlandse vertaling nog op zich laat wachten, is er al voldoende informatie in de bestaande richtlijn beschikbaar om vooruit te kijken: wat staat jouw organisatie te wachten? Het is hierbij belangrijk om te beseffen dat, hoewel een aantal zaken in de richtlijn duidelijk lijken te zijn, er nog veel niet officieel is vastgesteld. Wat we al wel kunnen zeggen is dat wanneer je organisatie al werkt volgens bestaande informatiebeveiligingsnormen (zoals de BIO voor de overheid en de NEN7510 voor de zorg) de impact niet al te groot zal zijn. Anders zal er nog wel veel werk liggen.

Misschien vind je dit ook interessant om te lezen: De NIS2 uitgelegd: wat moet je ermee?




Terug naar het overzicht

Training: alles over de nieuwe wetgeving NIS2 voor zorgbestuurders

Met de invoering van de NIS2-richtlijn zijn er nieuwe verplichtingen die je helpen om de cyberveiligheid van jouw organisatie te versterken. Maar wat betekent dit voor jou en jouw organisatie?

Dat ontdek je bij onze training NIS2 in de boardroom, speciaal gericht op bestuurders in de zorg, op woensdag 13 november van 15:00 tot 20:00 inclusief diner.

Lees meer

Gerelateerde publicaties

De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.

Lees verder

Organisaties stelden jaren geleden als verplichting een privacybeleid op waar waarschijnlijk niemand meer naar kijkt. Je kan als organisatie meer halen uit dat beleid. Maar hoe maak je met het beleid meer impact in je organisatie?

Lees verder