Home » De NIS2-richtlijn: de versterking van cyberveiligheid in een digitale wereld, geldt deze ook voor uw klanten?

De NIS2-richtlijn: de versterking van cyberveiligheid in een digitale wereld, geldt deze ook voor uw klanten?

Accountancy

17 september 2023 door

In een tijdperk waarin onze samenleving steeds dieper doordringt in de digitale wereld, ontstaan er nieuwe uitdagingen op het gebied van cyberveiligheid. Steeds vaker hoor je verhalen over cyberaanvallen die organisaties of instanties ontregelen. Om deze dreiging en de gevolgen daarvan zoveel mogelijk in te perken heeft de Europese Unie de ‘’Network and Information Security’’ (NIS-2) richtlijn ingevoerd.

Deze richtlijn borduurt voort op de oorspronkelijke NIS-richtlijn uit 2016 en heeft als doel onze digitale diensten en essentiële infrastructuur weerbaarder te maken. NIS2 vergroot de reikwijdte van de eerste richtlijn door meer sectoren te omvatten en daarnaast stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. Van Europese landen wordt verwacht dat zij de richtlijn eind 2024 hebben geïmplementeerd in de nationale wetgeving.

Essentiële diensten en digitale dienstverleners

De NIS2-richtlijn maakt in haar toepassingsgebied onderscheid tussen twee categorieën, namelijk ‘essentiële entiteiten’ en ‘belangrijke entiteiten’, zoals aangegeven in de tabel. Het voornaamste onderscheid tussen deze twee categorieën ligt in de mate van financiële sancties, waarbij belangrijke entiteiten zullen worden onderworpen aan mildere sancties en reactief toezicht van de autoriteiten. Daarentegen wordt proactief toezicht voorbehouden aan essentiële entiteiten. Een aantal sectoren werden ook al gedekt door de eerste NIS-richtlijn, maar een belangrijk verschil met de eerste richtlijn is dat de sector ‘overheid’ nu binnen het toepassingsbereik van de richtlijn valt. Overheidsinstanties die activiteiten uitvoeren op het gebied van veiligheid, defensie en rechtshandhaving zijn daarbij uitgezonderd.

Essentiële entiteiten:
• Energie
• Transport
• Bankwezen
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Beheerders van ICT-diensten
• Afvalwater
• Overheidsdiensten
• Ruimtevaart
• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging / manufacturing

Verplichtingen onder de NIS2-richtlijn

De NIS2-richtlijn legt een aantal verplichtingen op aan de bovengenoemde entiteiten.

Zorgplicht

  1. Zo zijn zij onder meer verplicht om zelf een risicobeoordeling uit te voeren. Naar aanleiding hiervan moet zij passende technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen.

Meldplicht

  1. Daarnaast schrijft de richtlijn voor dat entiteiten incidenten binnen 24 uur bij de nationale toezichthouder moeten melden, alsmede bij het Computer Security Incident Response Team, die op hun beurt hulp en bijstand kan verlenen hierbij (CSIRT). Omstandigheden die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen betrokken bij de storing op het mogelijke financiële verlies. Verder komen de entiteiten die vallen onder het toepassingsbereik van de richtlijn ook onder toezicht te staan van een onafhankelijk orgaan, die zal bezien of de entiteiten voldoen aan de voornoemde zorg- en meldplicht.

Toezicht

  1. Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.

Hoe kunt u uw klanten voorbereiden op de komst van de NIS2-richtlijn?

  1. Vooruitlopend op de komst van de nationale wetgeving is het van belang om eerst na te gaan of uw klant onder deze nieuwe richtlijn valt. Dat is een kwalificatievraagstuk die u het beste bij een expert kunt neerleggen als u twijfels heeft.
  2. Het is verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen.
  3. Indien dat bevestigend wordt beantwoord kunt uw klant zich alvast voorbereiden op zijn zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van processen en diensten verbeteren. Denk bijvoorbeeld aan het opstellen van een incidentenregister, het vóóraf inventariseren en analyseren van bedrijfs- en systeem specifieke risico’s, het opstellen van protocollen voor crisisbeheersing (incident response plan), het identificeren van alternatieve toeleveringsketens, bewustwording van personeel (trainingen) van risico’s en te nemen beveiligingsmaatregelen.

ISO certificering 270001 zal dit al in principe bewerkstelligen. Zie ook dit artikel.

Dit artikel is geschreven door ondernemingsjurist mr. Hella Vercammen van The Legal Company.

Mocht u advies of hulp nodig hebben bij de kwalificatie of uw klant onder de NIS2-richtlijn valt en bij de toepassing van deze nieuwe richtlijn, schroom dan niet om ons te contacteren via 020-345 0152 of info@thelegalcompany.nl

Wilt u op de hoogte blijven van dit onderwerp en van alle andere relevante actualiteiten voor het bedrijfsleven omtrent arbeidsrecht, contractrecht, ondernemingsrecht en privacyrecht en juridische tips & tricks ontvangen van onze ondernemingsjuristen? Meld u hier aan voor The Legal Alert!

Tags: NIS2

Gerelateerde artikelen

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Cookies
Om u beter van dienst te kunnen zijn, maakt Accountancy Vanmorgen gebruik van cookies. Klik op instellingen om de cookie instellingen te wijzigen.
  • Functionele cookies zijn noodzakelijk voor de werking van deze website.
  • We gebruiken Google Analytics, netjes geanonimiseerd.
  • We gebruiken de marketing cookies om gepersonaliseerde advertenties te tonen.

Instellingen