De NIS2 komt eraan. Deze richtlijn voor organisaties is bedoeld om de digitale en economische weerbaarheid van EU-lidstaten te verbeteren. Eerder dienden al organisaties te voldoen aan de voorloper van deze richtlijn, de NIS. Deze nieuwe richtlijn zal meer sectoren en organisaties treffen dan de NIS. Het kan zijn dat jouw organisatie al moet voldoen aan de eerste versie van deze wet. Was de eerdere NIS niet op jou van toepassing? Dan vraag je je wellicht af of jouw organisatie nu wél onder de nieuwe NIS2 zal vallen. Heel goed om te weten: ondernemers zullen ook met de NIS2-maatregelen te maken krijgen wanneer ze niet direct onder de richtlijn vallen. Veel bedrijven die deel uit gaan maken van een keten waar de opdrachtgevers in NIS2-sectoren vallen dienen namelijk (aanvullende) beveiligingsmaatregelen te nemen.
Lees hieronder alles over de criteria van de NIS2: welke sectoren en organisaties zullen eronder vallen? En welke maatregelen zou jij moeten nemen, als NIS2-organisatie of ketenpartner hiervan?
Wat is de NIS2-richtlijn?
De ‘NIS’ in NIS2 staat voor Network and Information Security. Dit is de opvolger van de NIS-richtlijn, die door de Europese Unie is opgesteld om EU-breed voor een solide niveau van cyberbeveiliging te zorgen van essentiële diensten. Specifiek richt de NIS2 zich op cyberrisico’s. Bepaalde bedrijven en sectoren zijn namelijk behoorlijk kwetsbaar wat cyberveiligheid betreft. Gezien de toenemende cyberdreigingen was de NIS aan een update toe. De NIS2-richtlijn moet in deze behoefte voorzien door meer sectoren mee te nemen en de beveiligingseisen op te krikken.
Op Nederlands niveau is de NIS ook bekend als de NIB (netwerk- en informatiebeveiliging), die is ondergebracht in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2-2 wordt geïmplementeerd in de Cyberbeveiligingswet (Cbw). Iedere lidstaat moet de NIS2 naar “eigen’ wetgeving” vertalen. In Nederland wordt de Cbw vanaf 17 oktober 2024 van kracht.
Wat zijn de criteria van de NIS2? De kritieke sectoren voor de Cyberbeveiligingswet
Om te bepalen of jouw organisatie onder de NIS2 valt, wordt over het algemeen gekeken naar twee criteria:
- de sector waarin je actief bent
- hoe groot de onderneming is
- met wie jouw onderneming zaken doet.
We schrijven hierboven bewust ‘over het algemeen’; er zijn namelijk uitzonderingen voor bepaalde (overheids)organisaties.
Deze sectoren vallen onder de Cyberbeveiligingswet
De NIS2 maakt een onderscheid tussen twee soorten sectoren: ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’.
Essentiële en belangrijke sectoren volgens de NIS2
I: Essentiële sectoren |
Energie |
Gezondheidszorg |
Transport |
Bankwezen |
Infrastructuur financiële markt |
Digitale infrastructuur |
Beheerders van ICT-diensten |
Ruimtevaart |
Afvalwater |
Drinkwater |
Overheidsdiensten |
Lokale overheden |
II: Belangrijke sectoren |
Post- en koeriersdiensten |
Digitale aanbieders |
Levensmiddelen |
Onderzoek |
Afvalstoffenbeheer |
Chemische stoffen |
Vervaardiging / manufacturing |
Criteria 2: de grootte van een organisatie
De NIS2 onderscheidt twee soorten organisaties op basis van grootte:
Middelgroot:
- Er werken minstens 50 personen, of:
- De jaaromzet is meer dan 10 miljoen euro, en het balanstotaal is meer dan 10 miljoen euro.
Groot:
- Er werken minstens 250 personen, of:
- De jaaromzet is meer dan 50 miljoen euro, en het balanstotaal is meer dan 43 miljoen euro.
Criteria 3: NIS2-organisatie in jouw keten
Een derde doelgroep die te maken zal krijgen met de NIS2, zijn organisaties die opereren in dezelfde keten als een NIS2-bedrijf. Denk aan leveranciers van zorginstellingen of bedrijven in de levensmiddelenbranche. Zo kan het zijn dat jouw organisatie niet direct onder de NIS2 valt, maar wél met verplichtingen te maken krijgt vanuit een ketenpartner. Dat dit veel vragen oproept, begrijpen we. Daarom hebben we hier een aparte blog aan gewijd: NIS2 en veiligheid in de keten.
Jouw organisatie en de Cyberbeveiligingswet / NIS2
Check op de website van de Rijksoverheid of jullie organisatie officieel onder de NIS2 valt. Maar let op: dit zijn enkel de bedrijven die er direct onder vallen. Aangezien zij verplicht zijn om voor veiligheid in de keten te zorgen, betekent dit dat ook hun leveranciers en ketenpartners verplichtingen hebben. Zoals jouw onderneming.
Neem hoe dan ook tijdig de juiste maatregelen, zodat de NIS2 niet als een verrassing komt. Ook als jouw onderneming (net) niet onder de NIS2 valt, dien je de juiste stappen te zetten. Integripro helpt hierbij. Weten hoe we dit doen? Neem gerust vrijblijvend contact met ons op. We denken graag mee.
