NIS2: van EU richtlijn naar nationale wetgeving. Controleer of dit iets betekent voor jouw onderneming!

Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.

Wat is houdt de NIS2-richtlijn in?
De NIS2-richtlijn richt zich op digitale (cyber)risico’s die netwerk- en informatiesystemen bedreigen, zoals het internet en betalingsverkeer. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. Het verplicht lidstaten om kritieke, essentiële en belangrijke entiteiten te ondersteunen in het verbeteren van hun weerbaarheid tegen digitale risico’s.

De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

Wanneer gaat NIS2 van start in Nederland?
Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de richtlijn om te zetten naar Nederlandse wetgeving. Naar verwachting zal de wet eind 2024 in werking treden, nadat deze door het parlement zijn behandeld. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

Geldt NIS2 ook voor mijn onderneming?
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Het aantal publieke en private organisaties die onder de richtlijn vallen wordt dus groter.
Het gaat om ‘Essentiele’ en ‘Belangrijke’ entiteiten uit bepaalde sectoren: energie, transport, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, ruimtevaard, beheerders van ICT diensten, banken, digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.

1. Essentiele entiteiten

  • Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn.
  • Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn (zie tabel)
  • Een organisatie is groot op basis van de volgende criteria:
    1. minimaal 250 werknemers of;
    2. een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

2. Belangrijke entiteiten

  • Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II.
  • Een organisatie is middelgroot op basis van de volgende criteria:
    1. minimaal 50 werknemers of;
    2. een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Doe de test op de website van de Rijksoverheid
Twijfel je of jouw organisatie onder NIS2 gaat vallen? Doe dan de zelfevaluatie: NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)

Meer informatie over de gevolgen van NIS2?
Wat gaat de NIS2 richtlijn betekenen voor uw organisatie? | Over het NCSC | Nationaal Cyber Security Centrum