Een update over de NIS2-richtlijn

De Rijksoverheid werkt al bijna twee jaar aan de omzetting van de CER- en NIS2-richtlijn naar een nationale wetgeving. De nieuwe NIS2 zou per 18 oktober 2024 in werking treden. Dit is in de meeste Europese landen gelukt, maar in Nederland heeft dit vertraging opgelopen. De hoogste tijd voor een update over de NIS2-richtlijn.

De implementatie van de NIS2-richtlijn in Nederland is uitgesteld vanwege de complexiteit en omvang van de Europese regelgeving. Dit vereist zorgvuldige afstemming en integratie met bestaande nationale wetten en regels. De Nederlandse overheid heeft aangegeven dat het omzetten van de richtlijnen naar nationale wetgeving meer tijd kost dan verwacht. De NIS2 wordt naar verwachting op 1 juli 2025 in Nederland van kracht. Vanaf dat moment moeten Nederlandse organisaties die onder deze richtlijn vallen voldoen aan de nieuwe zorg- en meldplicht.

Wat is de NIS2?

In onze razendsnelle digitale wereld is cybersecurity niet langer een luxe, maar pure noodzaak. De Europese Unie erkent dit en riep de Network and Information Security 2-wetgeving (NIS2) in het leven. NIS2 is niet zomaar een wettelijke verplichting, maar vormt de sleutel tot veerkracht in een steeds veranderend technologisch landschap. Deze wetgeving vereist dat organisaties slimme, bewuste keuzes maken en krachtige cybersecuritymaatregelen invoeren. Zo bewaken ze gevoelige gegevens en garanderen operationele continuïteit. NIS2 richt zich niet alleen op individuele organisaties, maar ook op hun hele netwerk van partners en informatie-uitwisselingen. Het komt er in de praktijk op neer dat de meeste Nederlandse bedrijven en instellingen aan de NIS2 moeten voldoen om veilig en succesvol te blijven opereren.

Wat houdt de update over de NIS2 in?

De NIS2-richtlijn wordt in Nederland geïmplementeerd onder de naam Cyberbeveiligingswet (Cbw). De verwachting is dat deze wet in het derde kwartaal van 2025 in werking treedt. Op dat moment komt ook de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) te vervallen. De verplichtingen uit de nieuwe richtlijn gaan in zodra de Cbw in werking treedt. Als jouw organisatie in een sector opereert die onder de NIS2-richtlijn valt, dan kun je een flinke boete oplopen als je niet tijdig aan de eisen voldoet. Bovendien lopen directieleden, de CISO en andere autoriteiten binnen de organisatie het risico persoonlijk en strafrechtelijk aansprakelijk te worden gesteld. Tot de datum van inwerkingtreding van de Cyberbeveiligingswet hebben organisaties die onder de NIS2-richtlijn vallen bepaalde rechten, zoals het ontvangen van bijstand bij een cyberincident door een Computer Security Incident Response Team (CSIRT).

Hans Pagels Securityconsultant

Waar moet je rekening mee houden?

Om aan de NIS2 te voldoen moet je rekening houden met de zorgplicht- en meldplicht en het toezicht. De zorgplicht omvat:

• Informatiebeveiligingsbeleid in lijn met normenkaders ISO270001, NEN7510 of BIO
• Beschreven (eind)verantwoordelijkheid
• Langetermijn opleidingsplan rondom digivaardig en digiveiligheid
• Gestructureerd en gedocumenteerd periodiek overleg
• Realistisch IST-situatie beschreven in beleid
• SOLL-situatie bekend in een actiepuntenlijst
• Gestructureerd risicobeheer (bewuste keuzes & bekende risico’s)
• Technische security-audits (pentesten)
• Gedocumenteerde processen
• Incidentbeheer en rapportages
• Beschreven disaster recoveryscenario’s

Volgens de meldplicht moet een organisatie in het geval van een incident binnen 24 uur melding maken aan de toezichthouder. Ze hebben daarna een maand de tijd om een uitgebreid rapport aan te leveren over het incident. De aangewezen nationale autoriteit (Rijksinspectie Digitale Infrastructuur) beoordeelt volgens hun toezichttaak de naleving van NIS2 door organisaties. Ze voeren audits uit – aangekondigd én onaangekondigd – en evalueren organisaties om na te gaan of ze voldoen aan de vereisten van de richtlijn.