Vijf vragen over NIS2: de nieuwe Europese cyberwetgeving

Digitale dienstverleners en belangrijke, essentiële diensten moeten net zoals bedrijven in andere sectoren altijd zijn voorzien van goede beveiligingen. Dit gaat zeker op voor de online security: mocht zich hier een kwetsbaarheid of lek bevinden, dan kunnen de gevolgen immens zijn. De Europese Unie biedt een veiligheidsnorm voor deze online organisaties in de vorm van de vernieuwde NIS2-richtlijn. Wat houdt dit in en wat kun je er eigenlijk mee? Onze collega Joachim Hodes geeft antwoord op vijf vragen rondom dit onderwerp. 

Wat is de NIS-richtlijn? 

NIS staat voor Network and Information Systems Directive, een speciale cybersecuritywet die is opgezet door de Europese Unie. In Nederland is deze maatregel in 2016 opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en staat ook wel bekend als de NIB. 

De NIS is een richtlijn voor organisaties in specifieke sectoren voor het treffen van bepaalde maatregelen om systemen, data en werkprocessen te beveiligen tegen cyberaanvallen. Het hoofddoel van de NIS-richtlijn is ook met name gericht op lidstaten van de EU en om deze een verbeterde weerbaarheid van de digitale en economische weerbaarheid te bieden. 

En wat is dan de NIS2? 

De tweede versie van de NIS is een herziening van de oorspronkelijke NIS-richtlijn en is aangenomen in het voorjaar van 2021. Een van de grotere verschillen is dat in de nieuwste versie van de wetgeving meer focus ligt op digitale dienstverleners en verkoopplaatsen. Daarnaast is er nu sprake van meer duidelijkheid.  

Heeft de NIS2-richtlijn ook verplichtingen? 

Hoewel de NIS2 vrijblijvend klinkt, zijn er wel drie zaken die verplicht zijn gesteld voor ieder bedrijf, namelijk een: 

• Zorgplicht: Een bedrijf of organisatie dient zelf een risicobeoordeling uit te voeren en moet op basis van de resultaten ook passende maatregelen nemen. Uiteraard is de bescherming van alle data hierbij het belangrijkste focuspunt. 
• Meldplicht: Is er een datalek, hack of andere digitale aanval voorgevallen? De NIS2 vraagt dan om binnen 24 uur hier een melding van te maken bij de toezichthouder. 
• Toezicht: Organisaties die onder de NIS2-richtlijn vallen komen onder toezicht te staan. Er wordt dan kritisch bekeken of de verplichtingen die de NIS2 stelt ook worden nageleefd. Op dit moment wordt er nog gewerkt aan een overzicht van alle sectoren waar de toezichthouder op wil letten. 

Wat moet ik als bedrijf doen? 

Op dit moment wordt er nog hard gewerkt om alles rondom de wetgeving in- en overzichtelijk te maken. Tot eind 2024 hebben alle Europese lidstaten de tijd om de NIS2-richtlijn in de eigen nationale wetgeving op te nemen. Medio zomer 2023 kunnen bedrijven, burgers en ook overheidsinstellingen commentaar, feedback en kritiek geven op de wet- en regelgeving die op dat moment wordt uitgewerkt. Dit klinkt wellicht nog wazig, maar volgens het Nationaal Cyber Security Centrum (NCSC) is pas daarna meer bekend voor organisaties. Vragen kunnen voor die tijd altijd bij deze instantie worden neergelegd. 

Hoe kom ik meer te weten? 

Het is te begrijpen dat de NIS2-richtlijn nog veel meer vragen kan oproepen. Het is natuurlijk altijd mogelijk om met het NCSC contact op te nemen, maar uiteraard staan wij bij Axoft voor je klaar. Zo sparren wij graag met je over de mogelijkheden binnen jouw bedrijf en welke maatregelen er mogelijkerwijs aan zitten te komen. Neem contact met ons op voor al jouw vragen en meer. 

Joachim Hodes 

Product- & Partnermanager