NIS2-richtlijn: bereid je organisatie tijdig voor
Vanaf 17 oktober moeten organisaties, groot én klein, voldoen aan de strenge eisen van de NIS2-richtlijn. Wanneer je niet voldoet, riskeer je boetes, juridische gevolgen en reputatieschade.
Download NIS2 E-BookDe consequenties van een hack-aanval zijn vaak desastreus. Wij maken inzichtelijk hoe kwetsbaar je bent.
De IT Security Scan bevat drie onderdelen: interviews, intern onderzoek en een externe PEN-test.
Ook als je geen klant bent, is een ICT Security Scan waardevol om écht onafhankelijk advies te krijgen.
Wat is NIS2?
Vanuit Europa komt een nieuwe richtlijn: NIS2. Een flink aantal bedrijven zullen verplicht maatregelen moeten nemen op het vlak van cybersecurity. De essentiële en belangrijke NIS2 bedrijven hebben een omzet van boven de 10 miljoen of meer dan 50 medewerkers.
Essentiële en belangrijke bedrijven moeten niet alleen hun eigen online beveiliging versterken, maar ook zorgen dat de cybersecurity van hun toeleveranciers op orde is. Dit betekent dat ze specifieke cybersecurity eisen zullen stellen aan de bedrijven waarmee ze samenwerken, waardoor mkb-bedrijven ook aan de slag zullen moeten met hun digitale veiligheid. QNP biedt alle tools en ondersteuning om dit te doen.
Val ik onder de NIS2-regelgeving?
Controleer direct of jouw organisatie hier ook onder valt.
Wat kun je doen? Verplichtingen en implicaties
Ga niet direct zware normen zoals ISO-of NEN opleggen aan je toeleveranciers. Hoe vind je een balans tussen veiligheid (voldoen aan de wet) en het wegjagen van je leveranciers vanwege te zware verplichtingen?
- Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren bij het NCSC (Nationaal Cyber Security Centrum). Deze registratie moet zorgen voor een Europees breed beeld van het aantal organisaties onder de NIS2.
- Zorgplicht: De richtlijn verplicht organisaties om proactief potentiële risico's te herkennen en te evalueren. Op basis hiervan implementeren ze passende maatregelen om de integriteit van hun diensten te waarborgen en de vertrouwelijkheid van de informatie te beschermen. Deze beveiligingsmaatregelen worden periodiek gecontroleerd en geactualiseerd.
- Meldplicht: Bovendien zijn alle organisaties die onder NIS2 vallen verplicht om incidenten te melden. Dit houdt in dat ze binnen 24 uur na het ontdekken van een incident een melding moeten doen bij de toezichthouder, gevolgd door het indienen van een uitgebreid rapport binnen een maand.
- Toezicht: Organisaties die onder NIS2 vallen, zullen onder toezicht worden geplaatst. Voor belangrijke organisaties zal dit toezicht reactief zijn, dat wil zeggen dat het plaatsvindt na een incident. Voor essentiële organisaties zal er echter proactief toezicht zijn, wat betekent dat er ook buiten incidenten om wordt gecontroleerd of de organisatie aan de beveiligingsvereisten voldoet.
Financiële boetes
Om de wet te borgen zijn er stevige boetes aangekondigd. Organisaties die niet voldoen aan de vereisten van NIS2 lopen het risico op financiële sancties die aanzienlijke proporties kunnen aannemen. De boetes kunnen oplopen tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Deze maatregelen benadrukken de ernst waarmee naleving van de voorschriften wordt behandeld en dienen als een sterke stimulans voor organisaties om de beveiligingsmaatregelen serieus te nemen en deze nauwgezet te implementeren.
De Rijksinspectie Digitale Infrastructuur zal toezicht houden. Hoewel er niet direct boetes worden uitgedeeld, is het belangrijk dat alle bedrijven laten zien dat ze druk bezig zijn met het digitaal veiliger maken van hun eigen bedrijf en de toeleveringsketen.
Juridische gevolgen
Personen met relevante autoriteit op het gebied van cybersecurity dragen een aanzienlijke verantwoordelijkheid voor het naleven van de richtlijnen. Het niet voldoen aan deze voorschriften kan leiden tot persoonlijke aansprakelijkheid voor deze individuen. Dit houdt in dat ze juridisch en financieel verantwoordelijk kunnen worden gehouden voor eventuele schade of tekortkomingen die voortkomen uit het niet naleven van de richtlijn. Deze persoonlijke aansprakelijkheid benadrukt het belang van zorgvuldige en proactieve naleving.
NIS2 Quality Mark
Het NIS2 Quality Mark is speciaal ontwikkeld door brancheorganisaties om rust te bewaren in de toeleveringsketen. Het geeft je de mogelijkheid om op een haalbare manier aan de NIS2 eisen te voldoen, zonder een enorme hoeveelheid aan regels en rompslomp.
- Grote NIS2 bedrijven: Bied je leveranciers met het NIS2 keurmerk een duidelijk pad naar compliance.
- Kleinere toeleveranciers: Krijg duidelijke richtlijnen en ondersteuning om aan de veiligheidseisen te voldoen, waardoor je waardevolle klantrelaties kunt behouden.
Welke sectoren vallen onder de NIS2-richtlijn?
De NIS2-richtlijn, en daarmee ook de Cyberbeveiligingswet, richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter. De organisaties die onder de NIS2-richtlijn vallen, behoren tot de volgende sectoren:
Loop geen risico en start met NIS2
Net zoals de Rijksoverheid adviseren we om nu al te beginnen met de voorbereidingen. Continu investeren in digitale weerbaarheid is essentieel, aangezien het voorkomen van incidenten altijd beter is dan genezen. Dit minimaliseert het risico op schade en draagt bij aan de bedrijfscontinuïteit.
Voor organisaties die onder de NIS2-regelgeving zullen vallen, is het extra belangrijk om tijdig maatregelen te treffen. Ben je op zoek naar meer informatie? Neem dan gerust contact op met één van onze specialisten.
Download ons NIS2 E-book
Marco helpt je graag verder!