Security NIS2
Valt je onderneming onder NIS2?
In de snel evoluerende digitale wereld van vandaag de dag, waarin technologie een integraal onderdeel is geworden van vrijwel elke bedrijfsactiviteit, neemt het belang van cybersecurity alsmaar toe. Bedrijven worden geconfronteerd met toenemende cyberaanvallen, gegevenslekken en digitale inbraakpogingen. Om deze uitdagingen aan te pakken, riep de Europese Unie enkele jaren geleden de NIS1-richtlijn in het leven. Binnenkort volgt een strengere aanpassing van de richtlijn, nl. NIS2
Maar wat houdt deze richtlijn precies in en valt jouw onderneming eronder?
Wat is de NIS2-richtlijn?
De NIS2-richtlijn, wat staat voor "Network and Information Systems 2," is een Europese wetgeving die tot doel heeft de cybersecurity in de hele EU te versterken. Het is een aanvulling op de eerste NIS-richtlijn uit 2016 en heeft tot doel de weerbaarheid van netwerk- en informatiesystemen te vergroten en de impact van cyberincidenten te verminderen.
De NIS2-richtlijn legt bepaalde verplichtingen op aan aanbieders van essentiële diensten en digitale dienstverleners om ervoor te zorgen dat zij passende maatregelen nemen om cyberdreigingen tegen te gaan.
Valt jouw onderneming onder NIS2?
De belangrijkste vraag voor veel bedrijven is of ze onder de NIS2-richtlijn vallen.
NIS2 breidt sterk uit op welke organisaties de strenge eisen van toepassing zijn en in welke mate. Hierbij maakt het een zorgvuldig onderscheid tussen “essentiële entiteiten” en “belangrijke entiteiten”.
Het onderscheid wordt bepaald op basis van de grootte van het bedrijf en de sector waartoe ze behoren, nl. tot een hoogkritieke sector of een kritieke sector.
Het verschil tussen kritieke en hoogkritieke sectoren
De oorspronkelijke NIS-richtlijn uit 2016 identificeerde zes essentiële sectoren waarop de maatregelen van toepassing waren. Dit waren energie, vervoer, bankwezen, gezondheidszorg, drinkwater en chemische producten.
In totaal breidt NIS2 de reikwijdte van deze richtlijn uit door 10 nieuwe sectoren toe te voegen. In totaal gaat het dus om 18 sectoren. Die worden vervolgens geclassificeerd als kritiek of hoogkritiek. Dit slaat op hun impact op de maatschappij wanneer een incident zich zou voortdoen.
Hoogkritieke sectoren | Kritieke sectoren |
|
|
*hier valt Direct onder.
Het verschil in grootte tussen bedrijven
Een micro-onderneming heeft:
- minder dan 10 werknemers
- en een jaaromzet of jaarlijks balanstotaal van minder dan 2 miljoen euro.
Een kleine onderneming heeft:
- tussen 10 en 50 werknemers
- en een jaaromzet of jaarlijks balanstotaal van minder dan 10 miljoen euro.
Een middelgrote onderneming heeft:
- tussen 50 en 250 werknemers
- en een jaaromzet van minder dan 50 miljoen euro of jaarlijks balanstotaal van minder dan 43 miljoen euro.
Een grote onderneming heeft:
- meer dan 250 werknemers
- of een jaaromzet van minstens 50 miljoen euro of een jaarlijks balanstotaal van minstens 43 miljoen euro.
Het verschil tussen essentiële en belangrijke bedrijven
Onder de essentiële bedrijven vallen alle grote bedrijven die behoren tot één van de 8 kritieke sectoren.
Onder belangrijke bedrijven vallen alle grote bedrijven die behoren tot één van de 7 kritieke sectoren EN alle middelgrote bedrijven die opereren in zowel de kritieke als hoogkritieke sectoren.
Zowel essentiële als belangrijke bedrijven moeten voldoen aan de eisen die de NIS2-richtlijn oplegt, maar de mate waarin ze aan de nodige maatregelen moeten voldoen, verschilt.
Wat met kleine bedrijven?
Kleine en microbedrijven vallen buiten de scope van de NIS2-richtlijn, ongeacht ze behoren tot één van de 15 sectoren, tenzij de nationale overheden hen aanduiden als essentieel of belangrijk vanwege hun activiteiten.
Conclusie
Als jouw onderneming actief is in één van de 15 sectoren die onder de scope van de NIS2-richtlijn valt, is het van cruciaal belang om te begrijpen in welke mate je moet voldoen aan de maatregelen. Dit is afhankelijk van de grootte van je bedrijf en de sector waartoe je behoort.
Zorg ervoor dat je de nodige stappen onderneemt om te voldoen aan de eisen van de NIS2-richtlijn en zo de cyberweerbaarheid én maturiteit van jouw onderneming te versterken.