In de snel evoluerende digitale wereld van vandaag de dag, waarin technologie een integraal onderdeel is geworden van vrijwel elke bedrijfsactiviteit, neemt het belang van cybersecurity alsmaar toe. Bedrijven worden geconfronteerd met toenemende cyberaanvallen, gegevenslekken en digitale inbraakpogingen. Om deze uitdagingen aan te pakken, riep de Europese Unie enkele jaren geleden de NIS1-richtlijn in het leven. Binnenkort volgt een strengere aanpassing van de richtlijn, nl. NIS2
Maar wat houdt deze richtlijn precies in en valt jouw onderneming eronder?
De NIS2-richtlijn, wat staat voor "Network and Information Systems 2," is een Europese wetgeving die tot doel heeft de cybersecurity in de hele EU te versterken. Het is een aanvulling op de eerste NIS-richtlijn uit 2016 en heeft tot doel de weerbaarheid van netwerk- en informatiesystemen te vergroten en de impact van cyberincidenten te verminderen.
De NIS2-richtlijn legt bepaalde verplichtingen op aan aanbieders van essentiële diensten en digitale dienstverleners om ervoor te zorgen dat zij passende maatregelen nemen om cyberdreigingen tegen te gaan.
De belangrijkste vraag voor veel bedrijven is of ze onder de NIS2-richtlijn vallen.
NIS2 breidt sterk uit op welke organisaties de strenge eisen van toepassing zijn en in welke mate. Hierbij maakt het een zorgvuldig onderscheid tussen “essentiële entiteiten” en “belangrijke entiteiten”.
Het onderscheid wordt bepaald op basis van de grootte van het bedrijf en de sector waartoe ze behoren, nl. tot een hoogkritieke sector of een kritieke sector.
De oorspronkelijke NIS-richtlijn uit 2016 identificeerde zes essentiële sectoren waarop de maatregelen van toepassing waren. Dit waren energie, vervoer, bankwezen, gezondheidszorg, drinkwater en chemische producten.
In totaal breidt NIS2 de reikwijdte van deze richtlijn uit door 10 nieuwe sectoren toe te voegen. In totaal gaat het dus om 18 sectoren. Die worden vervolgens geclassificeerd als kritiek of hoogkritiek. Dit slaat op hun impact op de maatschappij wanneer een incident zich zou voortdoen.
| Hoogkritieke sectoren | Kritieke sectoren |
|
|
*hier valt Direct onder.
Een micro-onderneming heeft:
Een kleine onderneming heeft:
Een middelgrote onderneming heeft:
Een grote onderneming heeft:
Onder de essentiële bedrijven vallen alle grote bedrijven die behoren tot één van de 8 kritieke sectoren.
Onder belangrijke bedrijven vallen alle grote bedrijven die behoren tot één van de 7 kritieke sectoren EN alle middelgrote bedrijven die opereren in zowel de kritieke als hoogkritieke sectoren.
Zowel essentiële als belangrijke bedrijven moeten voldoen aan de eisen die de NIS2-richtlijn oplegt, maar de mate waarin ze aan de nodige maatregelen moeten voldoen, verschilt.
Kleine en microbedrijven vallen buiten de scope van de NIS2-richtlijn, ongeacht ze behoren tot één van de 15 sectoren, tenzij de nationale overheden hen aanduiden als essentieel of belangrijk vanwege hun activiteiten.
Als jouw onderneming actief is in één van de 15 sectoren die onder de scope van de NIS2-richtlijn valt, is het van cruciaal belang om te begrijpen in welke mate je moet voldoen aan de maatregelen. Dit is afhankelijk van de grootte van je bedrijf en de sector waartoe je behoort.
Zorg ervoor dat je de nodige stappen onderneemt om te voldoen aan de eisen van de NIS2-richtlijn en zo de cyberweerbaarheid én maturiteit van jouw onderneming te versterken.