NIS2 richtlijn
Wat is de NIS2 richtlijn?
De NIS2-richtlijn is een opvolger van de NIS-richtlijn (Network and Information Security directive). De richtlijn is opgesteld door de Europese Unie en heeft als doel om de cyberbeveiliging en veerkracht van essentiële diensten in EU-lidstaten te verbeteren.
Ten opzichte van de NIS-richtlijn, breidt de NIS2-richtlijn zich uit naar meer sectoren en stelt strengere normen voor beveiliging en melding van incidenten. Het doel is om de digitale en economische weerbaarheid van Europese lidstaten, overheden, bedrijven en organisaties te verbeteren.
In de afgelopen jaren legden verschillende ontwikkelingen zoals COVID-19, de Oekraïne-oorlog, cyberdreigingen en klimaatverandering steeds meer druk op de veiligheid van onze maatschappij en economie. De NIS2-richtlijn richt zich specifiek op risico's die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico's.
Voor wie is de NIS2-richtlijn?
De richtlijn bevat een toelichting over welke specifieke overheidsinstanties nu ook onder de verplichtingen vallen:
De NIS2-richtlijn is van toepassing op de centrale overheid, inclusief de Rijksoverheid en zelfstandige bestuursorganen. Zij worden beschouwd als essentiële entiteiten. Het is aan de individuele lidstaten om te beslissen of ze lokale overheden, zoals gemeenten, waterschappen en provincies, ook onder de richtlijn laten vallen. Dit is wel het doel, net als het wettelijk vastleggen van bestaand beleid via de Basisbeveiliging Overheid (BIO). En het instellen van toezicht voor de gehele overheid.
Er is een uitzondering in de NIS2-richtlijn voor overheidsinstanties die voornamelijk actief zijn op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving. Dit betekent dat bijvoorbeeld veiligheidsregio's of politie niet onder de NIS2-richtlijn vallen. Overheidsinstanties met activiteiten die indirect verband houden met nationale veiligheid vallen wel onder de richtlijn.
Eigenschappen van de NIS2-richtlijn
Zorgplicht
De richtlijn vereist dat organisaties zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten te waarborgen en de informatie te beschermen.
Meldplicht
Incidenten die de essentiële dienstverlening sterk kunnen verstoren, moeten binnen 24 uur gemeld worden aan de toezichthouder en het Computer Security Incident Response Team (CSIRT). Factoren zoals het aantal getroffen personen, de duur van de verstoring en mogelijke financiële verliezen bepalen of een incident meldingswaardig is.
Toezicht
Organisaties die onder de richtlijn vallen, zullen ook onder toezicht komen te staan van een onafhankelijke toezichthouder. Momenteel wordt nog bepaald welke toezichthouder verantwoordelijk zal zijn voor de overheidssector en wat het toezicht precies inhoudt.
Er wordt gestreefd naar harmonisatie van bestaande verantwoordingsstructuren, waarbij bevindingen uit eerdere onderzoeken naar toezicht worden meegenomen.
Hoe bereid je je voor op de NIS2-richtlijn?
Het naleven van bestaande informatiebeveiligingsrichtlijnen, zoals de Baseline Informatiebeveiliging OverheidBIO, is essentieel om te voldoen aan de zorgplicht die voortvloeit uit NIS2. Het is daarom belangrijk dat overheidsinstanties zich houden aan deze verplichtingen als startpunt.
Voor overheidsinstanties vindt de invulling van de NIS2-zorgplicht zoveel mogelijk plaats binnen de bestaande kaders. Organisaties die voorheen niet voldeden aan de standaarden voor informatiebeveiliging, zijn dit onder de NIS2-richtlijn wel verplicht.
De BIO wordt naar alle waarschijnlijkheid uitgebreid met enkele extra verplichtingen.
Hulp nodig bij het implementeren van de NIS2-richtlijn?
Heb je hulp nodig bij het nemen van maatregelen om aan de NIS2-certificering te voldoen? ISOPlanner voorkomt financiële en reputatieschade door overheidsorganisaties op een laagdrempelige manier te helpen om aan steeds complexere wet- en regelgeving te voldoen.
Start een gratis proefperiode van onze software of neem contact met ons op, wij helpen je graag!