Cybercrime in de EU
Hoe speelt uw organisatie een rol in het versterken van de digitale veerkracht van de EU? In deze whitepaper bespreken we de impact van cybercriminaliteit.
Whitepaper aanvragen
Scope van NIS2
Wat zijn de verplichtingen van de NIS2-richtlijn? Ontdek hoe DEKRA u kan ondersteunen bij NIS2
Scope van NIS2
Wat zijn de verplichtingen van de NIS2-richtlijn? Ontdek hoe DEKRA u kan ondersteunen bij NIS2
NIS2-richtlijn
Cyberbeveiliging voor essentiële organisaties met de NIS2-richtlijn
Steeds meer digitale ontwikkelingen zetten de veiligheid van onze maatschappij en economie onder druk. Om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren is de NIS2 cyberwetgeving ontworpen. Deze volgt de oude NIS-richtlijn op die niet langer voldoende beschermde. De NIS2-richtlijn geldt voor meer sectoren en stelt strengere beveiligingsnormen en melding vereisten voor incidenten. Als cybersecurity-expert biedt DEKRA certificeringen aan waarmee u kunt demonstreren dat u aan de NIS2-richtlijnen voldoet. De NIS2 scope bestaat uit (delen van) ISO 27001, IEC 62443 en NIST Cybersecurity Framework (CSF) in combinatie met extra documentatie, afhankelijk van uw situatie.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een Europese richtlijn en staat voor Network and Information Security directive. NIS2 is opvolger van de oorspronkelijke NIS wetgeving, die in 2016 werd ingevoerd. Het doel van de NIS2-richtlijn is dat organisaties die essentiële diensten leveren, zoals zorginstellingen en energiebedrijven, hun risico’s op het gebied van cybersecurity in kaart brengen en aanpakken. Daarbij zijn er ook toezichts- en handhavingsmaatregelen opgenomen in de NIS2-richtlijn. NIS2 is een wetgeving. U bent sinds de zomer van 2025 verplicht om aan de NIS2-richtlijn te voldoen.
Harmonisatie van de NIS2-richtlijn
ENISA is het Europees Agentschap voor netwerk- en informatiebeveiliging en verantwoordelijk voor het verbeteren van de cyberveilig binnen Europa. Zij hebben laten weten dat er in de toekomst geen geharmoniseerde standaard van de NIS2 scope komt.
Van NIS2-richtlijn naar Cyberbeveiligingswet
De NIS2-richtlijn is Europese wetgeving die vastlegt welke cybersecurity-verplichtingen organisaties minimaal moeten naleven. In Nederland wordt NIS2 omgezet in nationale wetgeving: de Cyberbeveiligingswet. Via deze wet worden de NIS2-verplichtingen juridisch bindend voor organisaties die binnen de scope vallen. Dit betekent dat toezichthouders kunnen handhaven en sancties kunnen opleggen wanneer organisaties niet aantoonbaar voldoen aan de eisen voor cyberbeveiliging, incidentmelding en risicobeheersing.
Wanneer de Cyberbeveiligingswet in werking treedt, vervangt deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni).
Wat valt er onder de NIS2 scope?
Er wordt bij de NIS2-richtlijn onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten.
Essentiële entiteiten
Essentiële entiteiten kunnen steekproefsgewijs gecontroleerd worden. Deze organisaties kunnen geaudit worden zonder dat er een incident heeft plaatsgevonden. Controles kunnen onder andere plaatsvinden door beveiligingsscans en inspecties ter plaatse. Deze organisaties vallen als het ware onder een vergrootglas. Een essentiële organisatie móét, met alle bewijslast, kunnen aantonen dat het aan de NIS2-richtlijn voldoet.
Belangrijke entiteiten
Belangrijke entiteiten daarentegen zullen alleen bij bewijs, aanwijzingen of informatie dat deze niet voldoen aan de NIS2-richtlijn, gecontroleerd worden door middel van een audit. Dit gebeurt na een cyberhack. Maar ook voor hen is het natuurlijk verplicht en erg belangrijk om te voldoen aan NIS2 wetgeving. Men moet kunnen aantonen dat de organisatie voldeed aan cyberregelgeving op het moment van de cyberhack.
Bedrijfsgrootte
De NIS2-richtlijn is van toepassing op middelgrote en grote bedrijven (50+ medewerkers of met een jaarlijkse omzet van 10 miljoen euro) in verschillende sectoren. Micro en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. Uitgezonderd op deze regel zijn aanbieders van vertrouwensdiensten, zij vallen wel binnen de NIS2 scope. Daarnaast kan de minister van een bepaalde sector ervoor kiezen om een micro- of klein bedrijf alsnog te laten verplichten aan de NIS2-richtlijn als dat essentieel blijkt uit de risicobeoordeling.
Sectoren en de NIS2-richtlijn
Onder de NIS2-richtlijn vallen alle organisaties die ook onder de eerste NIS-richtlijn vallen. Daarnaast zijn er een paar nieuwe sectoren toegevoegd die ook tot de NIS2 scope behoren. Hieronder vindt u een overzicht van alle sectoren, verdeeld over essentiële en belangrijke entiteiten.
Essentiele entiteiten:
- Energie
- Vervoer
- Gezondheidszorg
- Overheidsdiensten
- Ruimtevaart
- Beheerders van ICT-diensten
- Digitale infrastructuur
- Drinkwater
- Afvalwater
- Infrastructuur financiële markt
- Bankwezen
Belangrijke entiteiten:
- Vervaardiging (manufacturing)
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
Nieuw: ook leveranciersketen wordt gecontroleerd
Een belangrijk aspect van de NIS2 scope is de nadruk op de verantwoordelijkheid van organisaties om ook cybersecurityrisico’s binnen hun leveranciersketen in kaart te brengen en aan te pakken. Dit betekent dat bedrijven niet alleen hun eigen systemen moeten beveiligen, maar ook die van hun partners en leveranciers, de volledige keten. Want ook de leveranciers beschikken vaak over cybergevoelige informatie. Het uiteindelijke doel is om gegevens te beschermen en een veerkrachtiger digitaal ecosysteem te creëren, waarin de kans op verstoringen door cyberaanvallen aanzienlijk wordt verkleind.
Het kan voorkomen dat uw toeleveranciers of dienstverlenende partners niet actief zijn in een van de genoemde sectoren of minder dan 50 medewerkers hebben, waardoor zij niet het label 'essentieel' of 'belangrijk' krijgen. Toch moeten zij nog steeds voldoen aan de richtlijn NIS2. Bovendien kan de EU deze organisaties in de toekomst alsnog labelen als essentieel of belangrijk.
Met deze tool van de Rijksoverheid kunt u snel checken of de NIS2-richtlijn van toepassing is op uw organisatie.
Wat zijn de verplichtingen van de NIS2-richtlijn?
Waarom DEKRA voor NIS2-richtlijn?
U bent zelf verantwoordelijk om conform de NIS2 scope te werken. Echter zal onafhankelijk certificeren door een certificeringsinstantie zoals DEKRA enorm bijdragen aan het voldoen van de NIS2 scope. Wij leveren certificaten waarmee u zelf kunt verklaren dat u voldoet aan de richtlijn van NIS2. Bovendien geeft onafhankelijk testen een veel breder inzicht in het niveau van uw organisatie. Bijvoorbeeld of u volledig voldoet aan de essentiële ISO 27001 norm.
Cybersecurity expertise
DEKRA heeft zich gepositioneerd als een toonaangevende expert op het gebied van cybersecurity. Met een diepgaande kennis en uitgebreide ervaring biedt DEKRA een breed scala aan diensten om organisaties te ondersteunen bij het naleven van de NIS2-richtlijn. Hier zijn enkele redenen waarom DEKRA wordt beschouwd als dé autoriteit op dit gebied:
1. Omvangrijke cybersecurity-diensten
2. Inzicht in regelgeving en normen
3. Ervaring en certificering
Hoe we u ondersteunen bij het voldoen aan de NIS2-richtlijn
Het naleven van de NIS2-richtlijn kan een uitdagend proces zijn, maar DEKRA biedt een gestructureerde benadering om organisaties door dit proces te leiden. Hier zijn enkele stappen die DEKRA onderneemt om organisaties te helpen bij de NIS2-richtlijn:
- Risicoanalyse: DEKRA begint met een uitgebreide risicoanalyse en gap-analyse om de huidige stand van zaken te evalueren. Dit omvat het identificeren van potentiële zwakke punten en het beoordelen van de effectiviteit van bestaande beveiligingsmaatregelen.
- Implementatie van beveiligingsmaatregelen: Op basis van de bevindingen uit de analyses helpt DEKRA organisaties bij het implementeren van de benodigde beveiligingsmaatregelen. Dit kan variëren van beleidsmatige aanpassingen tot training van personeel.
- Continue monitoring en evaluatie: De NIS2-richtlijn vereist continue monitoring en evaluatie van beveiligingsmaatregelen. DEKRA biedt diensten aan voor regelmatige audits en assessments om ervoor te zorgen dat organisaties blijvend voldoen aan de NIS2-richtlijn en om snel te kunnen reageren op nieuwe dreigingen.
- Incidentrespons en herstel: In het geval van een beveiligingsincident is een snelle en effectieve respons cruciaal. DEKRA helpt organisaties bij het ontwikkelen en evalueren van incidentresponsplannen, evenals herstelstrategieën om de impact van incidenten te minimaliseren en snel weer operationeel te zijn.
Kom eenvoudig met ons in contact
Het voldoen aan de richtlijn van NIS2 is een complex en doorlopend proces dat van uw organisatie vereist dat u uw beveiligingsmaatregelen evalueert en verbetert. Door samen te werken met DEKRA verhoogt u uw digitale weerbaarheid en bent u beter voorbereid op de uitdagingen van de geldende wet- en regelgeving.
Wilt u meer weten over hoe DEKRA uw organisatie kan ondersteunen op het gebied van cybersecurity? Neem eenvoudig contact met ons op via het onderstaande formulier.
3 Resultaten
28 okt 2024Digitale & Productgerichte oplossingen / Cyber Security
NIS2 cybersecurity
Wat houdt NIS2 in? En hoe ziet NIS2 cybersecurity compliance eruit? Lees hier alles over de richtlijn
Bekijk artikel
14 okt 2024Digitale & Productgerichte oplossingen / Cyber Security
ISO 27001 en NIS2
Waarom zijn ISO 27001 en NIS2 cruciaal voor de cybersecurity van uw organisatie? Ontdek het in deze blog.
Bekijk artikel
01 okt 2024Digitale & Productgerichte oplossingen / Cyber Security
NIS2 en IEC 62443
NIS2 & IEC 62443: De twee cruciale pijlers voor cybersecurity en cyberweerbaarheid. Ontdek hier meer.
Bekijk artikel