NIS2: een nieuwe Europese richtlijn voor cybersecurity

Sinds 2023 werkt de Rijksoverheid aan de vertaling van de NIS2-richtlijn naar nationale wetgeving. In het eerste kwartaal van 2024 vindt de internetconsultatie plaats. Sectoren, organisaties en personen krijgen dan de gelegenheid om op de nieuwe wetgeving te reageren. Inmiddels wordt er steeds meer bekend over de NIS2. In deze blog vertellen we waar jouw organisatie rekening mee moet houden.

Wat is de NIS2?

NIS2 is een afkorting van Network and Information Security 2. Deze richtlijn moet dienen als basis voor nationale wetgeving. De richtlijn richt zich op de risico’s van een IT-omgeving en moet bijdragen aan een hoger niveau van cybersecurity bij organisaties. Er bestaat al een voorganger van de NIS2, genaamd de NIS1. Deze richtlijn richtte zich op grote spelers die essentiële diensten leveren, zoals energiemaatschappijen en banken. De NIS2 gaat een stap verder.

Voor wie geldt de NIS2 dan?

We schreven al dat NIS2 een stap verder gaat dan NIS1, maar voordat we verder de inhoud induiken, gaan we eerst in op de doelgroep van NIS2. Want, geldt de NIS2 wel voor jouw organisatie?

Je organisatie valt automatisch binnen de NIS2-richtlijn als deze actief is in een bepaalde sector en volgens bepaalde criteria kunnen worden aangemerkt als essentieel of belangrijk. Dat klinkt ingewikkeld. Welke sectoren vallen onder de NIS2? Wat maakt je organisatie essentieel of belangrijk? Onderstaand vind je een overzicht welke sectoren onder de NIS2 vallen:

EnergieTransportInfrastructuur financiële markt
GezondheidszorgDrinkwaterDigitale infrastructuur
AfvalwaterOverheidsdienstenRuimtevaart
Beheerders van ICT DienstenBankwezenDigitale aanbieders
Post- en koeriersdienstenAfvalstoffenbeheerLevensmiddelen
Chemische stoffenOnderzoekVervaardiging/manufacturing

Daarnaast wordt er nog onderscheid gemaakt tussen essentieel of belangrijk. Voor de NIS2-richtlijn ben je een essentiële organisatie als je:

  • Volgens de CER-richtlijn bent aangewezen als kritieke entiteit
  • Minimaal 250 medewerkers hebt, of;
  • Een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro

Voor de NIS2-richtlijn ben je een belangrijke organisatie als je:

  • Minimaal 50 medewerkers hebt, of;
  • Een jaaromzet en balanstotaal van meer dan 10 miljoen euro

Begint het je te duizelen? Gelukkig bestaat er een handige tool waarmee je kunt uitzoeken of jouw organisatie onder de NIS2-richtlijn valt.

Wat moet je regelen voor NIS2?

De NIS2 heeft twee grote verplichtingen waar je aan moet voldoen, deze lichten we verder uit in deze blog.

William Aarnoudse | Security Officer – Wordt enthousiast van ICT en security en geniet van een goed gezette bak koffie.