De NIS2 richtlijn bouwt voort op NIS 1 en voegt in de kern meer sectoren toe aan essentiele diensten. Wat betekent dit voor Nederlandse organisaties?

De tweede generatie van de Europese Network and Information Systems (NIS2)-richtlijn zal dit jaar in Nederland om worden gezet in wetgeving. De richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016. Het doel was toen om eenheid te brengen in het Europees beleid voor netwerk- en informatiebeveiliging om zo de gevolgen van cyberincidenten te verkleinen, met name gericht op bedrijven en instellingen van cruciale aard.

Allereerst is het goed om het verschil tussen de NIS2 en de NIB2 te begrijpen. Het betreft hier geen ingewikkeld verhaal, de NIB2 is gewoon de Nederlandse vertaling van de NIS2. Dus of het nu gaat over de network and information systems-richtlijn of de netwerk- en informatiebeveiliging-richtlijn, de inhoud is grotendeels hetzelfde. Wel is er tijdens het vertalen van de Europese richtlijn naar Nederlandse wetgeving ruimte voor interpretatie. De overheid is druk bezig met die vertaalslag, dus hoe de wet er precies uit gaat zien, is nog even afwachten.

Wel kunnen we ervan uitgaan dat de kern van de richtlijn grotendeels hetzelfde blijft. Deze kern bestaat uit twee elementen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk. De meldplicht wil dat organisaties melding moeten maken wanneer ze te maken krijgen met een cyberincident. Voor alle organisaties die gezien worden als leverancier van essentiele diensten is er dus (veel) werk aan de winkel.

Het ziet er dus naar uit dat organisaties in tal van sectoren maatregelen moeten gaan treffen om de cybersecurity-volwassenheid naar een hoger niveau te brengen. De exacte hoogte van dit volwassenheidsniveau zal nog worden bepaald door de Nederlandse overheid. Dit is gelijk te trekken met de norm waaraan overheidsinstellingen momenteel moeten voldoen, maar er kunnen ook andere regels gaan gelden. De details moeten uiteindelijk blijken uit de resulterende wetgeving, net zoals de wet beveiliging netwerk en informatiesystemen een interpretatie is van originele NIS-richtlijn.

Deze versturen we 3-4x per jaar.