Download nu ons gratis e-book
De NIS2-wetgeving kan een grote impact hebben op jouw organisatie. Ons e-book biedt een uitgebreide gids over wat de wet betekent, of het van toepassing is op jouw bedrijf, en hoe je aan de vereisten kunt voldoen.
De Network and Information Security Directive 2 (NIS2) is een Europese wetgeving die gericht is op het verbeteren van de cyberbeveiliging binnen de Europese Unie (EU). Het is de opvolger van de oorspronkelijke NIS-richtlijn, die in 2016 werd ingevoerd. NIS2 legt meer nadruk op het handhaven van een adequaat niveau van cyberbeveiliging en breidt de reikwijdte van de wetgeving uit naar meer sectoren. Het omvat specifieke vereisten voor het melden van ernstige cyberincidenten en het nemen van beveiligingsmaatregelen. De richtlijn stelt ook strengere boetes vast voor bedrijven die de voorschriften overtreden, waardoor er een grotere stimulans is om te investeren in cybersecurity en te voldoen aan de vereisten van NIS2. Over het algemeen heeft NIS2 tot doel de digitale infrastructuur van de EU te versterken en de veerkracht van lidstaten tegen cyberaanvallen te vergroten.
Het verschil tussen NIS2 (Network and Information Security Directive 2) en GDPR (General Data Protection Regulation) ligt voornamelijk in hun focus en toepassingsgebied:
De focus van NIS2 ligt op het waarborgen van een hoog niveau van cybersecurity om de weerbaarheid van de EU tegen cyberaanvallen te vergroten. Het legt de nadruk op het voorkomen van en reageren op incidenten die de werking van essentiële diensten kunnen verstoren.
GDPR richt zich daarentegen op de bescherming van persoonsgegevens en de privacy van individuen binnen de EU. Het streeft ernaar het recht op privacy te versterken en organisaties verantwoordelijk te houden voor een zorgvuldige omgang met persoonsgegevens.
Sectoren
De toepassing van de NIS2-richtlijn is van toepassing op diverse bedrijfssectoren, omdat cybersecurity cruciaal is in elke branche. Elk bedrijf dat zich in deze essentiële of belangrijke sector bevindt (zie hieronder), met meer dan 50 werknemers en/of een jaaromzet boven de 10M, valt onder de NIS2-richtlijn en moeten voldoen aan de opgelegde eisen. Daarnaast zijn er enkele sectoren die, ongeacht het aantal personeelsleden of de jaaromzet, moeten voldoen aan de maatregelen van NIS2.
Ben je een groot of middelgroot bedrijf dat onder één van deze sectoren valt? Dan val je binnen de reikwijdte van de NIS2-richtlijn en moet je voldoen aan de cyberbeveiligingsmaatregelen zoals vastgesteld in de NIS2-richtlijn. Sancties en boetes voor niet-naleving variëren afhankelijk van hoe essentieel of belangrijk je bedrijf is in de hoogkritieke of kritieke sectoren.
Ben je een groot of middelgroot bedrijf dat onder één van deze sectoren valt? Dan val je binnen de reikwijdte van de NIS2-richtlijn en moet je voldoen aan de cyberbeveiligingsmaatregelen zoals vastgesteld in de NIS2-richtlijn. Sancties en boetes voor niet-naleving variëren afhankelijk van hoe essentieel of belangrijk je bedrijf is in de hoogkritieke of kritieke sectoren.
Kleine en micro-ondernemingen (bedrijven met minder dan 50 werknemers en een jaaromzet van minder dan 10 miljoen euro) vallen doorgaans buiten de reikwijdte van de NIS2-richtlijn, tenzij de overheid anders aangeeft.
NIS2 Compliance
Er zijn verschillende essentiële cyberbeveiligingsmaatregelen die bedrijven moeten nemen om te voldoen aan de NIS2-vereisten. Dit omvat niet alleen het technische beheer van netwerken en systemen, maar ook rapportageprocedures, risicobeheerprocessen en plannen voor bedrijfscontinuïteit.
Dit omvat het opstellen van een beleid voor risicoanalyse en informatiebeveiliging.
Een evaluatie van de effectiviteit van beveiligingsmaatregelen.
Het bevorderen van basis computerhygiëne en het zorgen voor cybersecurity-trainingen.
Het opzetten van procedures om te voldoen aan de eis om cyberincidenten binnen 24 uur te melden aan autoriteiten.
Dit omvat aspecten met betrekking tot de beveiliging van relaties met leveranciers en dienstverleners, het beoordelen van kwetsbaarheden en het zorgen voor productcyberbeveiliging.
Het gebruik van beleid inzake cryptografie en, indien nodig, het passend gebruik van encryptie.
Het gebruik van multi-factor of continue authenticatie, beveiligde communicatie en versleutelde noodkanalen.
Het waarborgen van bedrijfscontinuïteit en crisismanagement, inclusief het zorgen voor up-to-date back-ups, rampenherstelstrategieën en crisisbeheer voor ononderbroken operaties.
Een plan voor het omgaan met en reageren op beveiligingsincidenten.
Het opstellen van beveiligingsprocedures voor werknemers die toegang hebben tot gevoelige gegevens, en het onderhouden van een uitgebreide strategie voor activabeheer.
Wacht niet tot de deadline om in cyberbeveiliging te investeren. De NIS2-richtlijn gaat in oktober 2024 in België van kracht. Echter, wacht je best niet tot 2025 om te investeren in cyberbeveiliging. Cyberbeveiliging is meer dan alleen een verplichting, het is een essentieel onderdeel van de bescherming van je bedrijf.
Met het NIST Cybersecurity Framework helpen we je aan de eisen van de NIS2-richtlijn te voldoen. We focussen op het identificeren, beschermen, detecteren, reageren en herstellen van cyberdreigingen.
Neem vandaag nog contact met ons op om je cybersecuritystrategie te versterken en je bedrijf te beschermen tegen cybercriminaliteit.