De NIS2-richtlijn: hoe bereidt u zich voor?

Lidstaten hebben tot uiterlijk oktober 2024 de tijd om deze richtlijn om te zetten in nationale wetgeving. Deze nieuwe richtlijn is ontstaan omdat de veiligheid en economie van onze digitale samenleving steeds vaker onder druk staat. In vergelijking met de oorspronkelijke NIS-richtlijn, heeft NIS2 een bredere werkingssfeer en scope, zodat lidstaten beter kunnen reageren op de constante toename van  cybersecurity bedreigingen.

Uitbreiding en verdere verdieping van de NIS-regelgeving

NIS2 omvat een uitgebreidere lijst van sectoren die dienen te voldoen aan wet- en regelgeving, met meer verstrekkende voorschriften en maatregelen dan de huidige NIS-richtlijn. In Nederland is de NIS-richtlijn omgezet in de Wet beveiliging netwerk en informatiesystemen (Wbni) voor digitale dienstverleners. De nieuwe voorschriften stellen dat organisaties onder een verdergaand toezicht komen te staan. Dit is een aanvulling op de eisen vanuit de vorige NIS-richtlijn, waar het voornamelijk ging om het hebben van een “duty of care” en een “duty to report” omtrent cybersecurity incidenten. De organen van de overheid die toezicht moeten houden op organisaties zijn formeel nog niet bepaald, maar zullen toegewezen worden op basis van de sectoren waarin een organisatie opereert.

Op wie is NIS2-richtlijn van toepassing?

Binnen de richtlijn is onderscheid gemaakt in sectoren. Deze bestaan uit twee categorieën:

• Zeer kritieke sectoren: energie; transport; bankwezen; infrastructuur financiële markt; gezondheidszorg; drinkwater; digitale infrastructuur; beheerders van ict-diensten; afvalwater; overheidsdiensten; ruimtevaart.
• Andere kritieke sectoren: digitale aanbieders; post- en koeriersdiensten; afvalstoffenbeheer; levensmiddelen; chemische stoffen; onderzoek; vervaardiging/ manufacturing.

Daarnaast wordt op organisatieniveau onderscheid gemaakt op basis van omvang.

• Essentiële organisaties: opereren in een zeer kritieke sector en zijn van grote omvang:
  • Een onderneming heeft meer dan 250 werknemers; of
  • Een netto omzet van meer dan € 50 miljoen euro en een balanstotaal van meer dan € 43 miljoen euro.
• Belangrijke organisaties: opereren in een zeer kritieke sector of andere kritieke sector en zijn van middelgrote omvang:
  • Een onderneming heeft minimaal 50 werknemers; of
  • Een jaaromzet of balanstotaal van meer dan € 10 miljoen euro.

Het is van belang te bepalen of uw organisatie binnen deze richtlijn valt aangezien NIS2 een omvangrijkere “duty to care” en een “duty to report” toekent aan essentiële of belangrijke ondernemingen dan nu het geval is. Valt uw organisatie binnen deze richtlijn, dan zijn er stappen die u al kunt treffen ter voorbereiding op de NIS2-richtlijn. Zulke stappen kunnen zijn:

• Het laten uitvoeren van (cybersecurity) risicoanalyses;
• Het implementeren van een bedrijfscontinuïteitsplan;
• Het implementeren van een incident management beleid; en/of
• Het opzetten van een rapportagelijn ten behoeve van het verantwoordelijk management over de beheersing van cybersecurityrisico’s.

Onze aanpak

Mazars biedt verschillende diensten aan die u of uw organisatie kunnen helpen bij het voorbereiden op NIS2. Met name voor organisaties die nu voor het eerst onder de nieuwe NIS2-richtlijn gaan vallen heeft dit grote gevolgen. Het vroegtijdig uitvoeren van een NIS2-impact assessment en het opstellen van een gestructureerde roadmap voor het treffen van aanvullende maatregelen is noodzakelijk om verkeerde beslissingen en onnodige kosten te voorkomen.

Meer weten?

Wilt u meer weten over de NIS2-richtlijn en wat dit voor uw organisatie betekent? Neem dan contact op met Jeffrey de Bruijn per e-mail of per telefoon: +31 (0)88 277 11 27 of met Jan Matto per e-mail of per telefoon: +31 (0)88 277 13 99. Zij helpen u graag verder.