Wat betekent NIS2 voor uw organisatie?

Met de toenemende digitalisering wereldwijd, neemt de kans op cyberdreigingen toe. Om organisaties weerbaarder te maken tegen cyberdreigingen heeft de Europese Unie de Network and Information Security directive, NIS2, vastgesteld. Wat houdt deze richtlijn in en wat betekent het voor uw organisatie?

Het aantal cyberaanvallen neemt wereldwijd toe, in 2023 was er een toename van 200% in het door mens uitgevoerde cyberaanvallen. Deze aanvallen varieerden van Ransomware tot Phishing en DDos aanvallen. In 70% van de gevallen zijn organisaties met minder dan 500 medewerkers slachtoffer van cybercrime. Het op orde van informatiebeveiliging is dus belangrijker dan ooit. Door te voldoen aan de NIS2-richtlijn maakt u uw organisatie weerbaarder tegen cyberaanvallen.

Wat is NIS2?

Als opvolger van de Europese Richtlijn Netwerk Information Security heeft de Europese Uni eind 2022 heeft de Europese Unie de NIS2-richtlijn vastgesteld. In Nederland wordt deze richtlijn geïmplementeerd in de nieuwe Cyberbeveiligingswetgeving. Deze richtlijn is ontwikkeld om de risico’s voor netwerk- en informatiesystemen te minimaliseren, denk hierbij aan cyberbeveiligingsrisico's. Met deze richtlijn wil de EU bijdragen aan een hoger niveau van informatiebeveiliging voor organisaties in de Europese Unie.

Wat betekent NIS2 voor organisaties?

Met de invoering van NIS2 veranderen er ook een aantal zaken voor organisaties. Om aan de NIS2-richtlijn te voldoen zijn er voor organisaties een aantal verplichtingen opgesteld. Om de continuïteit en digitale weerbaarheid van organisaties te waarborgen krijgen organisaties te maken met een zorgplicht, meldplicht en onafhankelijk toezicht.

Om te voldoen aan de NIS2-richtlijn krijgen organisaties te maken met een zorgplicht. Deze zorgplicht verplicht organisaties om zelf een risicoanalyse uit te voeren. Op basis van de uitkomsten van deze risicoanalyse voeren organisaties passende maatregelen door om continuïteit en informatieveiligheid te waarborgen.

Een ander aspect waar organisaties mee te maken krijgen, is de meldplicht. Als er spraken is van een incident, zijn organisaties verplicht om binnen 24 uur een melding te maken bij de betreffende toezichthouder. Er moeten meldingen gemaakt worden van incidenten die van invloed zijn op de continuïteit van de dienstverlening van de organisatie. In het geval van cyberincidenten moet er een melding gemaakt worden bij het Computer Security Incident Response Team, die ondersteuning kunnen bieden bij het cyberincident.

Bovendien krijgen organisaties die aan de Cybersecuritywet moeten voldoen ook te maken met onafhankelijk toezicht. Concreet betekent dit voor organisaties die onder de richtlijn vallen dat zij door een onafhankelijke toezichthouder, zoals DNV, worden gecontroleerd op de naleving van de verplichtingen uit de richtlijn. Daarnaast geldt voor alle organisaties die essentieel of belangrijk zijn ook een registratieplicht, dit is een wettelijke verplichting vanuit de Europese Unie. Met dit register wil de EU de digitale weerbaarheid van belangrijke en essentiële organisaties in kaart brengen.

Maak uw organisatie NIS2-compliant met DNV

Organisaties die niet voldoen aan de NIS2-richtlijn, terwijl zij hier wel onder vallen, riskeren hoge boetes. Deze kunnen oplopen tot 2% van de wereldwijde omzet voor zowel essentiële als belangrijke organisaties. Voorkom hoge boetes en bereid uw organisatie samen met DNV voor op de komst van de Cybersecuritywet en NIS2-richtlijn. Onze experts kijken graag samen met u naar de beste oplossing om uw organisatie NIS2-compiant te maken.