Meer bedrijven in kritieke sectoren krijgen verplichtingen voor cyberbeveiliging (NIS2)
Wat gaat er veranderen?
Meer bedrijven en organisaties in kritieke sectoren krijgen verplichtingen (zorgplicht en meldplicht) om de cybersecurity te vergroten en cyberaanvallen tegen te gaan. Deze verplichtingen staan in de Network and Information Security directive (NIS2-richtlijn).
Wat is de NIS2-richtlijn?
Deze NIS2-richtlijn moet meehelpen aan een hoger niveau van cybersecurity voor netwerk- en informatiesystemen bij bedrijven en organisaties. De NIS2-richtlijn moet ervoor zorgen dat de EU-landen zich beter beschermen tegen dreigingen die de samenleving of economie kunnen verstoren of ontwrichten. De NIS2 is de opvolger van de eerste NIS-richtlijn (de NIB). Deze richtlijn is in 2016 in Nederland opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
Voor wie?
De NIS2-richtlijn geldt voor sectoren die al onder de eerste NIS-richtlijn vallen en daar komen nu sectoren bij. Uw organisatie valt automatisch onder de NIS2-richtlijn als:
- Uw organisatie actief is in 1 van de sectoren in bijlage 1 van de NIS2-richtlijn of bijlage 2 van de NIS2-richtlijn, en
- energie
- transport
- bankwezen
- infrastructuur financiële markt
- gezondheidszorg
- drinkwater
- digitale infrastructuur
- beheerders van ict-diensten
- afvalwater
- overheidsdiensten
- ruimtevaart
- energie
- transport
- digitale aanbieders
- post- en koeriersdiensten
- afvalstoffenbeheer
- levensmiddelen
- chemische stoffen
- onderzoek
- vervaardiging/productie
- u heeft een middelgrote organisatie met minimaal 50 werknemers of een jaaromzet of balanstotaal van meer dan € 10 miljoen (uw organisatie is een belangrijke entiteit), of
- u heeft een grote organisatie met meer dan 250 werknemers of een netto omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen (uw organisatie is een essentiële entiteit).
- De NIS2 geldt automatisch voor micro- of kleine bedrijven in de kritieke sector. De minister kan een micro- of klein bedrijf aanwijzen. Bijvoorbeeld als uw dienstverlening van cruciaal belang is voor de Nederlandse economie of samenleving. Als dat zo is, krijgt u hierover bericht.
- aanbieders van vertrouwensdiensten
- registers voor toplevel domeinnamen
- verleners van domeinnaamregistratiediensten
- aanbieders van openbare elektronische communicatienetwerken
- aanbieders van openbare elektronische communicatiediensten
Wat moet u doen?
Als uw organisatie onder de NIS2-richtlijn valt, gelden deze regels:
U moet een risicobeoordeling uitvoeren. Op basis van de risicobeoordeling moet u maatregelen nemen zodat uw diensten zoveel mogelijk door kunnen gaan en om de gebruikte informatie te beschermen.
U moet incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de essentiële dienstverlening aanzienlijk (kunnen) verstoren. Is het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Verschillende factoren bepalen of een incident gemeld moet worden. Bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Dit toezicht houdt in dat wordt gekeken of u zich aan de verplichtingen uit de NIS2-richtlijn houdt. Zoals de zorg- en meldplicht. Op dit moment wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.
Wanneer?
De NIS2-richtlijn wordt omgezet in nationale wetgeving: De Cyberbeveiligingswet (Cbw). Naar verwachting gaat de Cbw in het derde kwartaal van 2025 in. Eerst moeten de Eerste en Tweede Kamer de Cyberbeveiligingswet behandelen. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.
De Cyberbeveiligingswet (Cbw) zou eerst in oktober 2024 ingaan. Maar het omzetten van de NIS2-richtlijn in de Cyberbeveiligingswet kost meer tijd dan verwacht. Lees wat de gevolgen zijn van de latere ingangsdatum.
Wilt u een melding bij belangrijke wetswijzigingen?
Download de Nieuwe Wetten app, kies uw onderwerp of branche en krijg meldingen als er voor u belangrijke wetswijzigingen of nieuwe regels zijn.
Nieuwe Wetten app
Dit artikel is gerelateerd aan:
Wetswijzigingen
Externe links
- Internetconsultatie algemene maatregelen van bestuur Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten van start (NCTV)
- Implementatie NIS2 en CER in Nederland vertraagd, wat betekent dat voor u? (Rijksoverheid)
- Informatiebrochure NIS2-richtlijn (NCTV)
- Cybersecurity verhogen (Rijksoverheid)
- Wat zijn de CER- en NIS2-richtlijnen? (NCTV)
- Hoe kan uw organisatie zich voorbereiden op de CER- en NIS2-richtlijnen? (NCTV)
Wet- en regelgeving
- Consultatie Cyberbeveiligingsbesluit (Overheid.nl)
- Cyberbeveiligingswet (Wetgevingskalender)
- Internetconsultatie. Cyberbeveiligingswet (Overheid.nl)
- EU-richtlijn 2022/2555 Maatregelen hoog gezamenlijk niveau van cyberbeveiliging in de Unie (NIS 2-richtlijn) (EU)
- EU-richtlijn 2022/2557 Weerbaarheid kritieke entiteiten (CER-richtlijn) (EU)
Heeft u nog vragen?
Neem contact op met Rijksdienst voor Ondernemend Nederland (RVO)