Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Nieuws

  • 21 apr, 2024

De cyber security wet NIS 2

Digitalisering maakt ongelofelijk veel mogelijk. Overheden realiseren zich alleen ook dat het – met name essentiële – sectoren kwetsbaar maakt. We zijn als maatschappij afhankelijk geraakt. Om te blijven genieten van de voordelen van de digitale techniek komt er volgend jaar een uitbreiding van de cyber security wetgeving, conform de nieuwe NIS 2 richtlijnen. 

NIS2 werd bekendgemaakt op 27 december 2022 en ging van kracht op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 de tijd om de richtlijn in hun nationale wetgeving te integreren.

Wat is NIS 2?

NIS is een afkorting voor “Netwerk- en Informatiesystemen”, ook wel bekend als de NIB-richtlijn. In gewone taal betekent dit richtlijnen voor de beveiliging van systemen die cruciaal zijn voor de openbare veiligheid. Omdat de dreigingen toenemen en onze afhankelijkheid van digitale systemen groeit, wordt de huidige NIS-richtlijn (uit 2016) vervangen door NIS2.

Wbni: heeft dat nog iets met NIS te maken?

Na de goedkeuring van de NIS-richtlijn in 2016 hadden EU-landen twee jaar de tijd om dit in hun eigen wetgeving te implementeren. De manier waarop was flexibel. In Nederland vertaalde dit zich naar de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), die sinds 9 november 2018 van kracht is. De afgelopen jaren moest deze wet de weerbaarheid van Nederland tegen cyberaanvallen vergroten.

Maar: nu is er dus de NIS 2.

Het essentiële doel van NIS 2

Cyberaanvallen hoeven geen grenzen te kennen: die kunnen reiken tot heel de Benelux, Europa of zelfs de wereld. Het doel van de wetgeving is het algehele cyber security niveau binnen de EU naar een nog hogere en veiligere standaard dan de NIS uit 2016 te tillen. 

De focus ligt hierbij op de essentiële/vitale sectoren en infrastructuren. Als deze stoppen of problemen krijgen, kan dit grote problemen veroorzaken en zelfs gevaarlijk zijn voor de samenleving. Denk bijvoorbeeld aan: elektriciteit, internettoegang, drinkwater en betalingen.

Wat houdt NIS 2 voor mij in?

Als het om wetgeving gaat, is het altijd ingewikkeld het fijne ervan boven tafel te krijgen. Maar: we hebben ons best gedaan. We geven een overzicht van antwoorden op de belangrijkste vragen. Want voor welke sectoren geldt de wetgeving? En wat valt onder de eisen? 

Wie moet aan de wet voldoen?

De wet geldt niet alleen voor grote organisaties, maar ook MKB’ers die werkzaam zijn in een essentiële sector. De lijst van essentiële sectoren is in de NIS 2 uitgebreid ten opzichte van de originele NIS: 

Essentiële sectoren: “High Criticality” 

1. Energy
2. Transport
3. Banking
4. Financial market infrastructures
5. Health
6. Drinking water
7. Waste water
8. Digital infrastructure (ICT-service management (B2B)
9. Public administration
10. Space

Belangrijke sectoren: “Other Critical Sectors”

1. Postal and courier services
2. Waste management
3. Manufacture, production and distribution of chemicals
4. Food production, processing and distribution
5. Manufacturing
6. Digital providers (online marktplaatsen, social media, search engines)

AED, AAVA en DSP?

In Nederland zijn er twee belangrijke groepen organisaties die als vitaal worden beschouwd: de Aanbieders van een Essentiële Dienst (AED) en de Andere Aangewezen Vitale Aanbieders (AAVA). Maar we zien ook Digital Service Providers (DSP’s) terug in de NIS. 

Daarnaast zijn er in Nederland nog andere vitale processen, zoals waterkering, die niet expliciet in de NIS-richtlijn worden vermeld. Deze aanbieders, hoewel vitaal voor Nederland, worden AAVA genoemd omdat ze niet binnen de specifieke sectoren van de richtlijn vallen.

Wat zijn de richtlijnen?

Overkoepelend moeten organisaties zorgdragen dat hun digitale beveiliging is afgestemd op de risico’s die zich voordoen.  Thema’s die aan bod komen zijn:

– Preventieve maatregelen tegen incidenten (o.a. door encryptie)
– Incident Detection & Reponse 
– Supply chain security
– Bedrijfscontinuïteitsplan 
– Risk- & crisis management
– Meldplicht

Voor de volledigheid hieronder een uitgebreider overzicht van de richtlijnen zoals ze nu voorgesteld zijn. We hebben het in zo begrijpelijk mogelijke taal geschreven, zodat u een goed idee krijgt van de verschillen. Maar kijk voor de volledigheid zeker ook even naar de links op deze pagina.

In onderstaand overzicht (klik om uit te vergroten) is ook meteen het verschil met de NIS uit 2016 te zien. Het mag duidelijk dat de NIS 2 een heel stuk uitgebreider is: 

Komen er boetes?

Ja, er komen boetes. Hoe precies, en hoe hoog de boetes zijn, mogen de lidstaten zelf bepalen volgens NIS1. NIS2 volgt een soortgelijke benadering, maar beoogt meer duidelijkheid en consistentie in handhaving, vergelijkbaar met AVG boetes. Het doel is strikter toezicht en uniforme boetes tussen lidstaten. Europarlementariër Bart Groothuis is daar helder over: “We willen liever geen boetes uitdelen. Maar als een bestuurder aantoonbaar nalatig is, en keer op keer gewaarschuwd is, dan willen we tanden hebben om te bijten.”

De boetes kunnen hoog zijn. Er is al gevallen dat autoriteiten boetes mogen opleggen van 2% van de jaaromzet, of – afhankelijk van wat het hoogste is –  € 10 miljoen. Hieronder een volledig overzicht van de handhaving en sancties rondom NIS2: 

Toezicht

Bevoegde autoriteiten zorgen ervoor dat alles volgens de regels gaat en grijpen in als dat nodig is. Bij essentiële entiteiten is er voortdurend toezicht. Voor belangrijke entiteiten wordt toezicht achteraf uitgevoerd bij niet-naleving.

Sancties

De landen (lidstaten) zorgen ervoor dat boetes bij niet-naleving redelijk maar wel effectief zijn. Deze boetes komen bovenop de bindende instructies om verschillen te corrigeren. (De autoriteiten van de landen kunnen dit tijdens hun toezicht aangeven.)

Essentiële entiteiten: Voor essentiële entiteiten zal een administratieve geldboete worden opgelegd in geval van schending van de richtlijn. Deze boete bedraagt minimaal 10.000.000 euro of minimaal 2% van de totale wereldwijde jaaromzet van de onderneming waar de essentiële entiteit toe behoort. Hierbij wordt gekeken welk bedrag hoger is.

Belangrijke entiteiten: Voor belangrijke entiteiten zal een administratieve geldboete worden opgelegd bij schending van de richtlijn. Deze boete bedraagt minimaal 7.000.000 euro of minimaal 1,4% van de totale wereldwijde jaaromzet van de onderneming waar de entiteit toe behoort, ook afhankelijk van welk bedrag hoger is.

Wacht niet af

Ga na welke maatregelen er al zijn genomen binnen uw organisatie en welke nog niet. Kijk of het haalbaar is al aan de richtlijnen te voldoen voordat de wet in werking treedt. De baseline maatregelen maken organisaties direct al minder vatbaar voor cyberaanvallen, dus het is fijn daar zo snel mogelijk van te profiteren. 

En valt uw organisatie niet binnen de door de EU gestelde essentiële sectoren? Zie de NIS 2 dan als een kans om te leren en alsnog te verbeteren. De richtlijnen gelden voor essentiële sectoren omdat inbreuk daarop de maatschappij kan ontwrichten. Cyberaanvallen beperken zich alleen niet tot die sectoren: en geen enkele organisatie wil slachtoffer worden. 

Cyber security partner

Aan de slag met Incident Detection & Response via een SOC? Of andere onderdelen van de NIS 2 laten implementeren zoals krachtige MFA of Encryptie? Neem vrijblijvend contact met ons op, om samen met een cyber security partner deze stappen te zetten.

Inschrijven nieuwsbrief

Lees ook...

Pentest

  • 20 jun, 2024

Wat hacken met stalken gemeen heeft

Hackers maken organisaties en individuen het leven zuur. Ransomware, malware, spyware: ze hebben van alles in huis om apparaten en…

Lees verder

Interview

  • 4 jun, 2024

Paleis Het Loo over cyber security: “De mens heeft een cruciale rol”

Een bezoek aan het 17e eeuwse Paleis Het Loo belooft een onvergetelijke ervaring te zijn die je onderdompelt in het…

Lees verder

Cyber security

  • 30 mei, 2024

Een betere positie in de IT-markt door cyber security samenwerking

IT-leveranciers staan voor de uitdaging om functionele maar ook veilige oplossingen te bieden. Wat doet u met cyber security vraagstukken…

Lees verder

Cyber security

  • 18 apr, 2024

10 WiFi tips: Wat kan een hacker ermee?

Zijn er in Nederland eigenlijk nog wel bedrijven zonder WiFi-netwerken? De friettent? De bakker? Nee, ook die hebben een WiFi…

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*