Nieuwe Europese richtlijn NIS2

De NIS2 (Network and Information Security directive) is een nieuwe Europese richtlijn gericht op het vergroten van digitale weerbaarheid en het beperken van de gevolgen van cyberincidenten in de Europese Unie (EU). De NIS2 is de opvolger van de NIS, die in Nederland in 2019 geïmplementeerd is als de Wbni (Wet Beveiliging Netwerk- en Informatiesystemen).

RDI toezichthouder voor de NIS2

De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de naleving van de Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners. De NIS2-richtlijn richt zich op meer sectoren dan de huidige NIS-richtlijn.

Namens de minister van Economische zaken en Klimaat wordt de RDI toezichthouder op de volgende sectoren:

  • Energie
  • Digitale infrastructuur
  • Ruimtevaart
  • Vervaardiging/Manufacturing
  • Digitale aanbieders
  • Overheidsdiensten
  • Post- en koeriersdiensten
  • Onderzoek
  • Beheer van ICT-diensten

Namens de minister van Binnenlandse Zaken en Koninkrijksrelaties wordt de RDI toezichthouder voor de sector:

  • Overheidsdiensten

Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.

Aanpassing capaciteit en werkwijze

Onder de opvolger van de Wbni vallen veel meer organisaties onder het toezicht van de RDI dan bij de Wbni. Dit betekent dat we onze capaciteit en werkwijze op deze nieuwe wet moeten aanpassen. Data-analyse en samenwerking zullen daarbij een belangrijke rol spelen.

Op weg naar nationale wetgeving

De NIS2 wordt op dit moment door het ministerie van Justitie en Veiligheid (JenV) vertaald naar nationale wetgeving: de opvolger van de Wbni. De verwachting is dat in mei 2024 de internetconsulatie start: de fase waarin organisaties kunnen reageren op de wetteksten die uit de vertaling van de NIS2-richtlijn voortkomen.

Lees meer over de implementatie van de nieuwe wetgeving op de website van de NCTV

Wat verandert er met de NIS2?

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren. Daarbij wordt onderscheid gemaakt in organisatie die gezien worden als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of de economie.

Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, die alleen achteraf plaatsvindt. De NIS2-richtlijn stelt ook strengere beveiligingsnormen (zorgplicht) en meldingsvereisten (meldplicht) voor incidenten.

Lees meer op de verplichtingen uit de NIS2 op de website van de NCTV

Voorbereiding met Zelfevaluatie en Quickscan

De RDI heeft een NIS2-Zelfevaluatie ontwikkeld waarmee organisaties kunnen inschatten of ze onder de NIS2-richtlijn vallen en of zij gezien worden als belangrijk of als essentieel.

Ook biedt de Rijksoverheid een NIS2-Quickscan: een hulpmiddel voor organisaties die willen weten hoe goed zij voorbereid zijn op de komst van de NIS2. De NIS2-Quickscan is met name bedoeld voor ICT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. Het beantwoorden van 40 ja/nee-vragen maakt hen bewust van de status van de digitale weerbaarheid van hun organisatie.

De Quickscan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.