NIS2: aangescherpte regels omtrent cybersecurity!

We kunnen er niet omheen. Zelfs de meest verstokte digibeet zal beamen dat de ontwikkelingen rond IT en informatieverwerking de afgelopen decennia de maatschappij drastisch hebben veranderd. Mobiele telefonie, online winkelen, 3D printen; de lijst met uitvindingen die het leven vergemakkelijkt hebben is bijna eindeloos. Maar deze vooruitgang is niet zonder valkuilen. Het aantal, de omvang, de complexiteit, de frequentie en de impact van incidenten nemen ook toe en vormen een grote bedreiging voor het functioneren van netwerk- en informatiesystemen waar we steeds afhankelijker van worden.

De huidige Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) regelt sinds 2018 een meldplicht van incidenten en een zorgplicht voor het treffen van beveiligingsmaatregelen voor organisaties in een aantal scherp gedefinieerde categorieën (vitale aanbieders, rijksoverheid en digitale dienstverleners). De Wbni is tot stand gekomen ter uitvoering van de Europese de NIS1 richtlijn. De NIS1 was in het leven geroepen de digitale weerbaarheid in de EU te vergroten, maar is nu al verouderd. Niet in de laatste plaats omdat de richtlijn voornamelijk gericht is op essentiële sectoren.

Om de wildgroei aan nieuwe bedreigingen en toenemende afhankelijkheid van digitale technologieën aan te pakken[1] heeft de Europese Unie de NIS daarom herzien in de NIS2. Deze NIS2 heeft tot doel een breder en beter gecoördineerd regelgevingskader vast te stellen en de lijst van sectoren en activiteiten waarvoor deze cyberbeveiligingsverplichtingen gelden te vergroten. De aangescherpte regels hebben tot gevolg dat veel meer bedrijven en organisaties onder de nieuwe richtlijn zullen vallen, waaronder mogelijk de uwe.

De belangrijkste gevolgen van de NIS2:

• Behalve essentiële diensten zullen veel meer organisaties binnen de scope van de wet gaan vallen (er komt ook een categorie ‘belangrijke aanbieders); bijvoorbeeld zorginstellingen, overheid, vervaardiging, beheer van ICT-diensten, post en koeriersdiensten, onderzoeksinstelling en nog veel meer!
• Organisaties moeten passende technische en organisatorische maatregelen nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheren;
• Organisaties moeten daarnaast een aantal verplichte maatregelen nemen waaronder een adequate incidentenprocedure opzetten. Deze zal vergezeld worden door een meldplicht (met een strenge tijdslimiet van 24 uur);
• De richtlijn bepaalt dat er ook effectieve handhaving door de toezichthoudende autoriteit moet gaan plaatsvinden, ondersteunt door doeltreffende, evenredige en afschrikwekkende sancties bij een overtreding. Dit kan oplopen tot 10 miljoen of 2% van de wereldwijde jaaromzet.

Moet ik mij zorgen maken?

Wat betekent deze nieuwe richtlijn voor uw organisatie? De NIS2 richtlijn moet uiterlijk op 17 oktober 2024 worden omgezet in nationaal recht. De exacte vertaling door de wetgever weten we nog niet maar deze moet wel in lijn zijn met de voorgeschreven NIS2 richtlijn. Hierdoor kunt u zich al tijdig voorbereiden!

Denkt u dat deze richtlijn mogelijk voor uw organisatie van toepassing is dan kan L2P u helpen met:

• Vast te stellen of uw organisatie onder de nieuwe regelgeving valt;
• Het onderzoeken welke acties en maatregelen uw organisatie nog moet implementeren om te voldoen aan de NIS2 regelgeving (Gap analyse). 
  De NIS2 Gapanalyse geeft uw organisatie een duidelijke lijst van geïmplementeerde en niet-geïmplementeerde maatregelen. Deze gap analyse bieden wij aan voor een tarief vanaf €495.

Webinar.

L2P zal het komende jaar verschillende webinars organiseren om u gedetailleerdere informatie te verschaffen over de NIS2.

De eerste webinar hierover heeft op 25 april 2023 plaatsgevonden. Heeft u deze gemist? Geen punt. Wij sturen u graag een link door per e-mail zodat u de webinar kunt terugkijken. 
Ja stuur mij een link toe van de webinar NIS2