NIS2: Ketenverantwoordelijkheid kan ook jou raken

Wat is de NIS2 wetgeving?

NIS2, wat staat voor Network and Information Security, heeft als doel organisaties bewuster te maken van Cyber Security. Vanaf 1 juli 2025 moeten bedrijven die onder de NIS2-regelgeving vallen hieraan voldoen, ook al is de wet nog niet van kracht in Nederland. De impact van deze wetgeving hangt sterk af van de sector waarin je actief bent en of je aan de criteria voldoet. Aangezien NIS1 al geruime tijd van kracht is, zou het kunnen zijn dat jouw bedrijf al veel maatregelen heeft genomen op het gebied van Cyber Security. Binnen NIS2 staat het identificeren van risico’s centraal en deze wetgeving is steeds belangrijker binnen de Europese Unie. Het hoofddoel is om de Cyber Security en bescherming van vitale infrastructuren te versterken. Deze wetgeving beoogt de beveiliging van netwerken en informatie te waarborgen en lidstaten te ondersteunen in het aanpakken van Cyber Security bedreigingen. Als jouw bedrijf voldoet aan de criteria, dien je ook naar je leveranciers te kijken en ervoor te zorgen dat zij hieraan voldoen. Zelfs als je dus niet direct onder de NIS2-regelgeving valt, kunnen (potentiële) klanten die dat wel moeten dit bij jou toetsen en verwachten dat je hieraan voldoet. Het is jouw verantwoordelijkheid om dit te controleren, de ketenverantwoordelijkheid.

Wanneer val jij als bedrijf hieronder?

Wil je weten of jouw organisatie aan NIS2 moet voldoen? Gebruik dan onderstaande checklist:

1. 1. 1. Is je organisatie gevestigd in Nederland?
      2. Behoort je organisatie tot een van de onderstaande sectoren? 

    

   1. Heeft jouw organisatie meer dan 50 medewerkers of een jaaromzet en balanstotaal van meer dan 10 miljoen of moet de organisatie voldoen aan de CER-richtlijn?

Als het antwoord op een of meer van deze vragen ‘ja’ is, dan is het zeer waarschijnlijk dat jouw organisatie moet voldoen aan de NIS2-richtlijn*.

* Ketenverantwoordelijkheid

Er zijn uitzonderingen waarbij organisaties wel of juist niet hoeven te voldoen aan de NIS2-richtlijn, bijvoorbeeld in het geval van ketenverantwoordelijkheid. Ketenverantwoordelijkheid is een belangrijk aspect binnen de NIS2-richtlijn, waarbij organisaties worden aangemoedigd om niet alleen hun eigen netwerk en informatie te beveiligen, maar ook om de veiligheid van hun leveranciers, partners en andere ketenpartijen te waarborgen.

Veel organisaties realiseren zich niet dat wanneer ze zaken doen met bedrijven die wel aan NIS2 moeten voldoen, er een kans bestaat dat ze als organisatie verplicht worden gesteld door deze partij om ook aan NIS2 te voldoen. Zo zouden bijvoorbeeld accountantskantoren die klanten bedienen die aan de NIS2-regels moeten voldoen, ook onder deze verplichting kunnen vallen.

Verplichtingen

NIS2 kan worden onderverdeeld in vier hoofdonderdelen:

1. Zorgplicht: Entiteiten dienen een risicobeoordeling uit te voeren en passende maatregelen te nemen om diensten te waarborgen en informatie te beschermen. Door middel van een grondige risicobeoordeling kunnen bedrijven potentiële kwetsbaarheden en bedreigingen binnen hun netwerken en informatiesystemen identificeren. Het is essentieel voor organisaties om proactief te handelen en passende beveiligingsmaatregelen te implementeren om de integriteit en vertrouwelijkheid van gevoelige gegevens te waarborgen en mogelijke cyberaanvallen te voorkomen. De verplichtingen van de NIS2-richtlijn zijn in lijn met de bestaande kaders voor informatiebeveiliging van de overheid, zoals de Baseline Informatieveiligheid Overheid (BIO). Het doel is om de verantwoordelijkheid voor zorg binnen overheidsorganisaties te verwezenlijken via de BIO en bestaande normenkaders te gebruiken om onaangename verrassingen te voorkomen.
2. Meldplicht: Incidenten die de essentiële dienstverlening ernstig kunnen verstoren, moeten binnen 24 uur worden gemeld. Naast maatregelen omvat NIS2 ook de verplichting om incidenten te melden, op te volgen en te verhelpen. Dit omvat onder andere het melden van significante incidenten binnen 24 uur, een gedetailleerde beoordeling binnen 72 uur en het opstellen van een evaluatie inclusief maatregelen binnen 1 maand na het incident. Entiteiten kunnen incidenten melden bij een sectoraal CSIRT (Computer Security Incident Response Team) in geval van dreiging of incidenten in netwerk- en informatiesystemen van vitale aanbieders, in delen van het Rijk of bij digitale dienstverleners (DSP’s). Indien een sector geen CSIRT heeft, zijn er verschillende opties binnen het CSIRT-stelsel. Organisaties kunnen bijvoorbeeld worden opgenomen in het NCSC/CSIRT-DSP of in een andere sectoraal CSIRT. Als er geen bestaand CSIRT beschikbaar is, moet er mogelijk een nieuwe worden opgericht voor die sector.
3. Toezicht: Voor sommige sectoren, waaronder de overheid, is er in februari 2024 nog geen toezichthouder aangewezen. Bij voorkeur wordt de rol van toezichthouder bij een bestaande toezichthouder neergelegd. Dit biedt voordelen van bestaande kennis en ervaring. Door informatiebeveiligingseisen van verschillende Rijkswetten en -regels te harmoniseren, kunnen aanzienlijke administratieve lasten in meerdere sectoren worden voorkomen.
4. Registratieplicht: Bedrijven die onder de NIS2-richtlijn vallen, dienen zich te registreren. Deze registraties bieden een duidelijk overzicht van het aantal entiteiten onder de NIS2, zowel op nationaal als Europees niveau.

Hoe Cyso hierbij helpt

Bij Cyso hebben we ons verdiept in NIS2 en bieden we ondersteuning bij het vaststellen of je aan deze richtlijn voldoet. Daarnaast staan we klaar om met jou in gesprek te gaan over jouw vraagstuk en helpen je met het beantwoorden van vragen die daarbij horen. Want ondanks wat veel andere partijen zeggen, is dit maatwerk. Wij weten hier veel vanaf en kunnen je hierover informeren en met je meekijken. Als je bij ons klant bent zullen sommige stukken binnen het domein van de dienst die wij verlenen vallen en andere stukken binnen het domein van jou als klant of bij je leverancier. Hierbij kunnen maatwerkafspraken gemaakt worden.

Conclusie

Al met al speelt NIS2 een cruciale rol bij het helpen van Europa om veerkrachtiger en weerbaarder te worden tegen cyberaanvallen en bedreigingen. Door te streven naar een hoog niveau van netwerk- en informatiebeveiliging legt NIS2 de grondslag voor een veiligere digitale omgeving voor alle gebruikers. Organisaties die onder NIS2 vallen worden gestimuleerd om niet alleen hun eigen netwerk en informatie te beveiligen, maar ook om aandacht te besteden aan de veiligheid van hun leveranciers, partners en andere partijen binnen de keten. Door ketenverantwoordelijkheid serieus te nemen, kunnen organisaties een robuuste cybersecurity-structuur opbouwen die de gehele keten beschermt tegen potentiële cyberdreigingen en aanvallen. Het toepassen van NIS2 zorgt niet alleen voor betere Cyber Security overwegingen, maar stimuleert ook bewustwording op dat gebied.

Zorg dat jouw organisatie niet achterblijft en voorkom cyberdreigingen in jouw keten! Check vandaag nog of NIS2 op jou van toepassing is, versterk je cybersecurity en waarborg de veiligheid van je leveranciers en partners. Neem verantwoordelijkheid, bescherm je bedrijf! Neem contact op, Cyso staat altijd klaar om met je mee te denken.