Voor wie wordt NIS2 verplicht en hoe bereid je je voor
Binnenkort wordt het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) plenair behandeld in de Eerste Kamer. Naar verwachting wordt de wet goedgekeurd en treedt deze kort daarna in werking (naar verwachting 1 juli). De wet implementeert de EU-richtlijn 2022/2555, beter bekend als de NIS2-richtlijn. Deze nieuwe wet vervangt de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni), die is gebaseerd op de eerdere NIS1-richtlijn.
Wat is de NIS2?
NIS2 staat voor Network and Information Security directive 2. De nieuwe richtlijn is vastgesteld door de Europese Unie om de cyberbeveiliging en de weerbaarheid van essentiële diensten in de EU-lidstaten te verbeteren. Er vallen meer sectoren en organisaties onder de NIS2-regels, en er gelden uitgebreidere eisen voor risicobeheer, incidentmelding en toezicht. Ook is de verantwoordelijkheid van bestuurders vastgelegd.
Voor wie geldt de NIS2?
De NIS2-richtlijn richt zich op de sectoren die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe sectoren. De richtlijn bevat een toelichting over welke sectoren onder de verplichtingen vallen en onderscheidt 2 niveaus: essentiële en belangrijke entiteiten. Essentiële entiteiten zijn organisaties die essentiële diensten leveren, zoals energie, water, gezondheidszorg, openbaar bestuur, banken, etc. Overige organisaties, zoals digitale dienstverleners en organisaties die essentiële sociale en economische activiteiten uitvoeren, vallen vaak onder de categorie belangrijke entiteiten. Daarbij speelt ook de bedrijfsgrootte mee in de afweging.
Met de uitbreiding van NIS2 zijn organisaties in diverse sectoren verplicht hun digitale veiligheid te versterken. Afhankelijk van de grootte en het type activiteiten van jouw organisatie, kunnen de vereisten van essentiële of belangrijke entiteiten van toepassing zijn.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
Indien NIS 2 voor jouw organisatie van toepassing is, dan:
Dient jouw organisatie zich te registreren? De registratie kan via het portaal van het Nationaal Cyber Security Centrum (NCSC) plaatsvinden.
Dien je aan de verplichtingen van de Nederlandse wet te voldoen.
Zowel essentiële entiteiten als belangrijke entiteiten moeten voldoen aan dezelfde verplichtingen rond zorgplicht en meldplicht. De wijze van toezicht verschilt.
Zorgplicht: De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Zie onder andere Art. 20, Art. 21.
Meldplicht: entiteiten moeten incidenten binnen 24 uur melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand levert. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht: organisaties die onder de richtlijn vallen, komen automatisch onder toezicht te staan. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Essentiële entiteiten (Art. 3, Art. 32) vallen onder een intensiever regime van toezicht; zowel vooraf (ex ante) als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten (Art. 3, Art. 33) geldt een lichtere vorm van toezicht, die alleen achteraf (ex post) plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet, of als er een incident heeft plaatsgevonden.
Aansprakelijkheid voor bestuursleden?
Een belangrijke verandering bij de invoering van NIS2 is dat de bestuursleden van essentiële en belangrijke entiteiten direct aansprakelijk zijn voor de naleving van de richtlijn. Ze moeten de vastgestelde risicobeheersmaatregelen omtrent cyberbeveiliging expliciet goedkeuren, toezicht houden op de implementatie van de richtlijn, en verantwoordelijkheid nemen voor de naleving ervan. Om daarop voorbereid te zijn, stelt de Rijksinspectie Digitale Infrastructuur (RDI) dat bestuurders onder andere:
Aantoonbare kennis en vaardigheden hebben over risico's voor netwerk- en informatiesystemen, risicobeheersing en de impact van risico's op de organisatie;
Inzicht hebben in de risico’s en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
Regelmatig spreken met de eigen chief information security officer (CISO) over cyberbeveiliging.
HelloID als belangrijk hulpmiddel bij de zorgplicht
De HelloID IAM-oplossing is een belangrijk hulpmiddel bij de zorgplicht van organisaties. Met HelloID vindt de provisioning van accounts en rechten zoveel mogelijk automatisch plaats op basis van least privilege. Hiermee zijn iemands digitale identiteit en toegangsrechten altijd in lijn met de informatie in het HR-systeem. Tijdens het verdere dienstverband past HelloID bij rolwijzigingen automatisch de toegangsrechten aan en als iemand de organisatie verlaat, worden de accounts automatisch geblokkeerd. Zo voorkomen we stapeling van rechten en accounts die per ongeluk toegankelijk blijven.
Aanvullend hierop is er service automation functionaliteit om ook individuele toegangsrechten te beheren, en governance features om het rechtenbeheer periodiek te evalueren en te verbeteren. In deze checklist tonen we welke NIS2-verplichtingen een raakvlak hebben met identity & access management, en hoe je hier concreet invulling aan geeft met HelloID.
Tools4ever en NIS2
Tools4ever is geclassificeerd als een belangrijke entiteit en is daarom voorbereid op NIS2. Omdat wij al ISO27001 gecertificeerd zijn, voldeden wij al grotendeels aan de zorg- en de meldplicht. De meldplicht is geborgd in de verwerkersovereenkomsten met onze klanten, waarbij we in geval van security incidenten dit zo snel mogelijk melden. Hiermee kunnen klanten dit weer melden bij de relevante instanties en, waar nodig, passende maatregelen treffen.
Checken voor wie NIS2 van toepassing is?
Indien je wilt weten of organisaties aan de NIS-2 wetgeving moeten voldoen, is het mogelijk om via deze link een zelfevaluatie te doen om te zien of jouw organisatie onder de NIS2-richtlijn valt.
Wat is NIS2?
NIS2 is een Europese richtlijn die organisaties verplicht om hun digitale beveiliging beter op orde te brengen. De richtlijn stelt strengere eisen aan risicobeheer, incidentmelding, toezicht en verantwoordelijkheid van bestuurders. In Nederland wordt NIS2 verwerkt in de Cyberbeveiligingswet.
Wanneer wordt NIS2 verplicht in Nederland?
Voor Nederlandse organisaties gelden de NIS2-verplichtingen vanaf het moment dat de Cyberbeveiligingswet in werking treedt. De regering streeft naar invoering in het tweede kwartaal van 2026, maar de definitieve datum hangt af van de behandeling door de Tweede en Eerste Kamer.
Voor welke bedrijven geldt NIS2?
NIS2 geldt voor organisaties in sectoren die belangrijk zijn voor de samenleving en economie. Denk aan energie, zorg, drinkwater, vervoer, overheid, banken en digitale dienstverleners. De richtlijn maakt onderscheid tussen essentiële en belangrijke entiteiten. Ook de grootte van de organisatie speelt vaak mee.
Geschreven door:
Arnout van der Vorst
IAM Architect
Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.