Graag een momentje geduld,
Verwerken van Uw verzoek...

    0%
  Business logo VanSoest.it
  ... | Switch language to English |
Sharing is caring
| Deze webpagina afdrukken. | Nederlandstalige Linkedin pagina van Johan van Soest
Home
Over
Hobby's
Software
Hardware
ICT Hotlist
Doel

Reageer: Briefkaart afbeelding. Klik hier om te reageren naar Johan.

WebHalla Content Management System

ICT-Hotlist Thema

Terug naar de ICT-Hotlist...

Is de NIS2-richtlijn voor mijn organisatie verplicht?

Door Johan van Soest.
Gepubliceerd  :  2024-02-29.
Laatst gewijzigd  :  2024-03-11.

Cyberaanvallen behoren niet alleen tot de snelst groeiende vormen van misdaad wereldwijd, maar groeien ook in omvang, kosten en vernuftigheid. Ook is het beeld van de eenzame hacker die in het donker, gekleed in zijn hoodie op zijn zolderkamertje achter zijn computer op een toetsenbord zit te tikken vervangen door professionele goed georganiseerde criminele organisaties of personen of groepen die namens een overheid of overheidsinstantie handelen (state actors). Ransomware zal alle slachtoffers in 2031 wereldwijd ongeveer $265 miljard (USD) per jaar kosten, voorspelt Cybersecurity Ventures, met elke twee seconden een nieuwe aanval op een consument of bedrijf. Als gevolg hiervan moeten organisaties meer investeren om de cyberspace veiliger te maken voor zichzelf en hun klanten. Niet alleen bedrijven, maar ook burgers en hele landen worden geraakt door cybercriminaliteit. De eerste bekende cyberaanval op een land was in april 2007 in Estland, waardoor de onlinediensten van banken, mediakanalen en overheidsinstanties wekenlang werden getroffen. Sindsdien hebben veel andere landen te maken gehad met cyberaanvallen, onder meer op kritieke infrastructuur, zoals elektriciteitsinfrastructuur, ziekenhuizen of waterzuivering. Gezien het groeiende aantal en de toenemende kosten van cyberaanvallen nemen de uitgaven aan informatiebeveiliging ook wereldwijd toe. Kritieke sectoren, zoals transport, energie, gezondheidszorg en financiën, zijn steeds afhankelijker geworden van digitale technologieën om hun kernactiviteiten uit te voeren. Hoewel de groeiende digitale connectiviteit enorme kansen en kostenbesparingen met zich meebrengt, worden economieën en samenlevingen ook blootgesteld aan cyberdreigingen. Het aantal, de complexiteit en de omvang van cyberveiligheidsincidenten groeien, evenals hun economische en sociale impact.

De Nederlandse overheid is hard aan het werk om de NIS2 (Network and Information Systems Security Directive) richtlijn te implementeren. Deze Europese richtlijn heeft als doel de cyberveiligheid van de overheden, aanbieders van ‘belangrijke’ en ‘essentiële’ processen en hun toeleveranciers te verhogen. De NIS2-richtlijn is een uitbreiding op de NIS-richtlijn, ook wel bekend als de NIB, in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De NIS2-richtlijn voegt meer, nieuwe sectoren en rechten en plichten toe. Nieuwe sectoren zijn voedselvoorziening, zorg, financiële marktinfrastructuur, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, bankwezen en ruimtediensten. 

De NIS2-richtlijn heeft voorschriften voor het handhaven van basale computerhygiëne, het trainen van medewerkers, het gebruik van cryptografie, asset management, toegangscontrole, plus beleid en (meldings)procedures in geval van incidenten en crises.

Planning

Het politieke akkoord werd in november 2022 formeel aangenomen door het Europees Parlement en vervolgens door de Europese Raad. De verordening is op 16 januari 2023 in werking getreden en de lidstaten hebben 21 maanden, tot 17 oktober 2024, de tijd om de maatregelen in nationaal recht om te zetten.  https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf

De Nederlandse overheid heeft aangegeven deze einddatum niet te halen en gaat uit van medio 2025. Echter na de publicatie in het Staatsblad zullen de essentiële organisaties al binnen enkele maanden moeten voldoen. Bekijk de geactualiseerde planning hier: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/planning-van-de-nis2-richtlijn

De invoering van de NIS2-richtlijn kan echter veel impact hebben op organisaties. Indien U moet voldoen, reken dan op voldoende tijd voor het het inrichten, documenteren, instrueren en regelmatig evalueren van beveiligingsprocedures, technologie en bedrijfscontinuïteit. Start dan ook in ieder geval nu met de zelf-evaluatie.

Zelf-evaluatie

De rijksoverheid biedt een kosteloze zelf-evaluatie aan.

Met deze zelf-evaluatie bepaalt U voor de organisatie:

  • Is de NIS2-richtlijn van toepassing op de organisatie?
  • Is de organisatie Essentieel of Belangrijk?
  • Valt de organisatie onder Nederlands toezicht?

Voor wie is deze zelfevaluatie bedoeld?

  • De organisatie levert producten en/of diensten in de Europese Unie
  • De organisatie levert producten en/of diensten in Sectoren genoemd in Bijlage I en Bijlage II van de NIS2 (bv Sector Energie, Vervoer, Digitale diensten, Gezondheidszorg, Maakindustrie, etc.)
  • De organisatie heeft een bepaalde minimale omvang (50 werknemers of meer of een jaaromzet en balanstotaal van €10 miljoen of meer)
  • De organisatie is mogelijk aangewezen onder andere wetgeving of heeft een specifieke uitzonderingsgrond.

Belangrijk om te weten is dat organisaties die onder de NIS2-richtlijn vallen, ook hun toeleveringsketen moeten beoordelen. Uw organisatie kan dus indirect ook onder de NIS2-richtlijn vallen wanneer U bijvoorbeeld producten of diensten levert aan een overheidsdienst of zorginstelling in Europa.

De zelfevaluatie kunt U door middel van een vragenlijst doen op: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

NIS2 Quickscan

Indien de NIS2-richtlijn voor Uw organisatie van toepassing is, dan:

  1. dient de organisatie zich te registreren, de wijze waarop zal op basis van nationale wetgeving worden bepaald.
  1. dient de organisatie zich aan de verplichtingen van de Nederlandse wet te voldoen.

Welke verplichtingen worden voorgeschreven?

Zowel essentiële organisaties als belangrijke organisaties dienen aan dezelfde verplichtingen rond Zorgplicht en Meldplicht te voldoen. De wijze van Toezicht verschilt echter

Zorgplicht – De richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling te doen. Op basis daarvan nemen zij passende maatregelen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

Meldplicht – De richtlijn schrijft voor dat organisaties incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Toezicht – Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt. Zoals de zorg- en meldplicht. Momenteel wordt bekeken onder welke toezichthouder de sector Overheid komt te vallen (dit is nog niet bekend) en wat het toezicht inhoudt.

Educatie

Het management van de organisatie is verplicht een opleiding of een cursus te volgen die hen in staat stelt om cyberbeveiligingsrisico’s voor de organisatie goed te kunnen beoordelen. Daarnaast moet het personeel geïnstrueerd worden.

Doe hier de kosteloze NIS2 Quickscan https://regelhulpenvoorbedrijven.nl/NIS2-Quickscan/

Sanctiebeleid

Organisaties die zich niet houden aan de NIS2-richtlijn kunnen administratieve geldboeten verwachten met een maximumbedrag van 10.000.000 EUR of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is. Meer over de sancties is hier te vinden: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555#d1e4370-80-1

De autoriteit krijgt de bevoegdheid om een natuurlijk persoon met leidinggevende verantwoordelijkheden op het niveau van algemeen directeur of wettelijk vertegenwoordiger in de essentiële organisatie tijdelijk te verbieden leidinggevende functies in die organisatie uit te oefenen. (Artikel 32.5.b NIS2)

Algemene verordening gegevensbescherming (AvG)

Indien bij een incident PersoonsGegevens zijn “gelekt” (Inbreuk op de integriteit/Datalek) en de organisatie wordt hiervoor beboet door de GegevensBeschermingsAutoriteit, dan zal de voor de NIS2-richtlijn bevoegde autoriteit hiervoor geen boete opleggen (Artikel 35) maar kan wel handhavingsmaatregelen opleggen.

Infografic

De EU biedt een infographic aan die de verschillen tussen NIS en NIS2 laat zien. Download het hier

Disclaimer

De Nederlandse wetgeving is nog werk in uitvoering en aan deze tekst kunnen geen rechten worden ontleend. De volledige Nederlandstalige Europese NIS2-richtlijn kunt U hier vinden: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555#d1e40-80-1

U mag stemmen over dit artikel:

Scripts en programmeervoorbeelden disclaimer

Tenzij anders vermeld, zijn de scriptcode en programmeervoorbeelden auteursrechtelijk beschermde (copyright) freeware. U mag deze wijzigen, zolang een verwijzing naar de oorspronkelijke code en een hyperlink naar de bronpagina is opgenomen in de gewijzigde code en documentatie. Het is echter niet toegestaan om (kopieën van) de scripts en programmeervoorbeelden te publiceren op uw eigen site, blog, vlog, of te distribueren op papier of een andere drager, zonder voorafgaande schriftelijke toestemming.
Bij veel van de technieken gebruikt in deze scripts, met inbegrip van maar niet beperkt tot register-wijzigen of wijzigingen aan systeembestanden of instellingen, bestaat een risico dat een werkend besturingssysteem onbruikbaar wordt en gegevens verloren kunnen raken. Zorg ervoor dat U gecontroleerd heeft dat U beschikt over volledige back-ups en de bijbehorende herstelsoftware voordat U deze scripts of programmavoorbeelden gebruikt. Het gebruik van deze scripts en programmeervoorbeelden is volledig Uw eigen risico. Alle aansprakelijkheidsclaims tegen de auteur met betrekking tot materiële of niet-materiële verliezen als gevolg van het gebruik, misbruik of niet-gebruik van de verstrekte informatie of het gebruik van onjuiste of onvolledige informatie, zijn uitgesloten. Alle inhoud is onderhevig aan verandering en geleverd zonder verplichting.
Gegenereerd door WebHalla™ Versie 0.1.e.7 : Zaterdag 4-5-2024 © Copyright 1995-2024 ing. Johan P.G. van Soest CIPM Certified Privacy Information Manager
Respons Formulier    Cookie- en Privacy statement    Responsible Disclosure procedure
Weer in Waalre door OpenWeatherMap logo bewolkt
Temperatuur 16.8 °C bewolkt
Gevoelstemperatuur 16.02 °C bewolkt
Luchtvochtigheid 57 % bewolkt
Luchtdruk 1012 hPa bewolkt
Windsnelheid 3.6 m/s bewolkt
Windrichting Oost Oost bewolkt
Zon opkomst 6:04 Zon opkomst
Zonsondergang 21:05 Zonsondergang
Updated:2024-05-04 16:00:13 bewolkt
| Current user: Gast | Login |