Wat gaat de NIS2 richtlijn betekenen voor uw organisatie?

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne, en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.

De NIS2-richtlijn richt zich op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). U kunt hier meer lezen over de inhoud van de richtlijnt en wat dit betekent voor uw organisatie.

Naast de NIS2-richtlijn heeft de Europese Commissie eind 2022 ook de CER-richtlijn vastgesteld, die zich richt op de bescherming van publieke en private organisaties tegen fysieke risico’s, zoals de gevolgen van (terroristische) misdrijven, sabotage en natuurrampen. Beide richtlijnen richten zich op een verbetering van de weerbaarheid van de Europese lidstaten, tegen dreigingen die de maatschappij of economie kunnen verstoren of ontwrichten.

Begin 2024 meer inzicht in wat organisaties te wachten staat

Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de NIS2-richtlijn naar nationale wetgeving. Dit is een omvangrijk en complex traject dat uiterste zorgvuldigheid vergt, juist ook omdat de impact voor Nederlandse organisaties groot is. Zo zullen er bijvoorbeeld ten opzichte van bestaande wetgeving meer sectoren en meer organisaties moeten voldoen aan de nieuwe wetgeving. Bovendien wordt er meer van betrokken sectoren en organisaties gevraagd. Voor zowel de fysieke (CER) en digitale (NIS2) weerbaarheid komt er een zorgplicht (tot nemen van beveiligingsmaatregelen) en een meldplicht (van incidenten). Deze plichten gaan gelden voor organisaties die een dienst verlenen die belangrijk, essentieel of kritiek is voor het functioneren van de maatschappij of economie.

In het eerste kwartaal van 2024 vindt de internetconsultatie plaats. De concept wetteksten zijn dan gereed en sectoren, organisaties en personen krijgen dan gelegenheid erop te reageren. Dit geeft organisaties meer inzicht in wat er van hen wordt verwacht, als ze straks aan de wet moeten voldoen. Dat wil niet zeggen dat de concept wetteksten al meteen alles duidelijk maken. Na de internetconsultatie worden de ontvangen reacties overwogen en eventueel doorgevoerd. Ook worden specifieke zaken en details nog uitgewerkt in lagere wet- en regelgeving. Tegelijkertijd kunnen organisaties nu al veel doen om zich voor te bereiden.

Zodra de consultatieperiode start, kunt u de concept wetteksten hier vinden en raadplegen.

Wacht niet af, maar ga nu al aan de slag

De Rijksoverheid adviseert organisaties om niet af te wachten totdat de wet- en regelgeving volledig duidelijk is. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen beveiligen zich niet alleen tegen deze bestaande risico’s, maar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Dit alles kan door de volgende maatregelen te nemen.

  1. Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw organisatie kunnen verstoren.
  2. Neem waar mogelijk maatregelen die de organisatie beter beschermen tegen deze risico’s.
  3. Zorg voor procedures die uw organisatie in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, monitoren, op te lossen en te melden.

U kunt hier meer informatie vinden over de wijze waarop uw organisatie deze maatregelen kan nemen.

De Rijksoverheid raadt elke organisatie aan deze maatregelen te nemen om de continuïteit van de bedrijfsprocessen (beter) te waarborgen. Het zijn voor een deel ook de maatregelen die als zorgplicht en meldplicht in de wetgeving worden opgenomen. Voor organisaties die straks moeten voldoen aan de komende wetgeving is het dan ook van belang vroegtijdig te beginnen met de voorbereidingen. Het kost immers tijd om deze maatregelen te implementeren.  

Moet mijn organisatie straks aan de nieuwe wetgeving voldoen?

Indien u wilt weten of uw organisatie aan de wetgeving moet voldoen, dan kunt u hier meer informatie vinden, waaronder een vragenlijst waarmee u zelf kunt evalueren of uw organisatie onder de NIS2-richtlijn valt.