2 NIS or not 2 NIS …. NIS2 that is the question!
Ofwel, gaat NIS2 ook voor mijn organisatie gelden?
“NIS wat..?” Goed, eerst even wat achtergrond dan 😉
NIS1
NIS1 is een Europese richtlijn voor cybersecurity die in 2016 is aangenomen en in 2018 in Nederlandse wet- en regelgeving is omgezet. Doel van NIS1 was o.a. om de cyberweerbaarheid van de EU naar een hoger niveau te brengen. De reikwijdte van NIS1 beperkte zich tot 6 aangewezen categorieën van zogenaamde essentiële en vitale aanbieders. Denk hierbij aan aanbieders van nutsvoorzieningen, het bankwezen, lucht- en zeehavens, maar ook internetknooppunten en aanbieders van domeinregisters. Overigens heeft Nederland opvallend genoeg de sector gezondheidszorg niet opgenomen, terwijl deze wel in de Europese richtlijn stond. Vanwege de beperkte reikwijdte is de NIS1 richtlijn relatief onbekend gebleven bij het grote publiek.
NIS2
De opvolger van NIS1 - de nu al bekendere NIS2, u heeft vast al enkele berichten zien langskomen over dit onderwerp - is in januari dit jaar in werking getreden en moet door de EU-lidstaten uiterlijk op 17 oktober 2024 in nationale wet- en regelgeving zijn omgezet.
De meest in het oog springende verandering van versie 1 naar 2 is de sterk uitgebreide reikwijdte van de nieuwe richtlijn. Veel meer sectoren en daarmee veel meer organisaties zullen toekomstig aan deze richtlijn moeten voldoen. Daarnaast zullen partijen die zich in de toeleveringsketen van deze organisaties bevinden, waarschijnlijk ook (deels) aan deze richtlijn moeten voldoen. Vooral dat laatste zorgt ervoor dat veel organisaties met deze richtlijn te maken zullen krijgen en dus stappen moet gaan zetten op het gebied van cybersecurity. Actueel is het nog niet exact duidelijk welke organisaties wel en welke niet NIS2-plichtig zullen zijn. Consultatie voor de Nederlandse implementatie gaat in het 1e kwartaal van 2024 van start.
Wel zijn de 18 sectoren bekend die als essentieel of belangrijk aangemerkt zullen worden. Tevens is duidelijk dat daarna de omvang van de organisatie bepalend zal zijn voor het wel of niet plichtig zijn, op basis van criteria zoals hoogte van de omzet resp. balanstotaal en/of aantal FTE.
To NIS or not to NIS
Een eerste inschatting of uw organisatie NIS2-plichtig zal zijn - “to NIS or not to NIS” - is te verkrijgen door het invullen van de zogenoemde Zelfevaluatie NIS2 op de site van de Rijksdienst Digitale Infrastructuur (RDI), zie tevens de link onderaan deze blog.
De NIS2 richtlijn gaat naast reikwijdte ook inhoudelijk veel verder dan NIS1 en omvat onder andere een strengere en gedetailleerdere beveiligingsplicht, een meldplicht en strenger toezicht en handhaving. In een volgende blog zullen wij aandacht besteden aan de inhoud van NIS2, vooral aan de beveiligingsplicht, wat organisaties moeten en kunnen doen en tevens hoe deze zich verhouden tot normen als ISO27001 en de BIO.
Hoewel NIS2 dus flink stringenter is dan NIS1 biedt het meer concrete handvaten en maatregelen dan NIS1, wat organisaties meer houvast geeft over wat te doen. En wat uiteindelijk zal leiden tot een betere cyberweerbaarheid! Wij staan klaar om u te ondersteunen, neem contact met ons op!
Links en bronnen:
Informatie over de Zelfevaluatie NIS2
Rijksoverheid informatie over NIS2
In deze blog is informatie opgenomen uit het artikel Cybersecurity in Europa