NIS2-richtlijn: Cybersecurity Vereisten voor Uw Organisatie

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is het bijgewerkte EU-kader voor cybersecurity. Het vervangt de oorspronkelijke NIS-richtlijn uit 2016 en breidt zowel het toepassingsgebied als de verplichtingen aanzienlijk uit.

Lidstaten moesten NIS2 uiterlijk 17 oktober 2024 omzetten in nationaal recht.

Wie moet voldoen?

Essentiële entiteiten

Grote organisaties (250+ werknemers of EUR 50M+ omzet) in sectoren als energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en overheidsdiensten.

Belangrijke entiteiten

Middelgrote organisaties (50+ werknemers of EUR 10M+ omzet) in bovenstaande sectoren, plus postdiensten, afvalbeheer, chemie, voeding, productie en digitale dienstverleners.

Belangrijkste vereisten

Risicobeheermaatregelen (Artikel 21)

Organisaties moeten passende technische, operationele en organisatorische maatregelen implementeren, waaronder: risicoanalysebeleid, incidentafhandeling, bedrijfscontinuïteit, supply chain security, en cybersecuritytraining.

Incidentmelding (Artikel 23)

• Vroege waarschuwing binnen 24 uur
• Incidentmelding binnen 72 uur
• Eindrapport binnen één maand

Bestuursverantwoordelijkheid

Het bestuur moet cybersecurity-maatregelen goedkeuren en kan persoonlijk aansprakelijk worden gesteld bij niet-naleving.

Boetes

• Essentiële entiteiten: Tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet
• Belangrijke entiteiten: Tot EUR 7 miljoen of 1,4% van de wereldwijde jaaromzet

Voorbereiding

1. Bepaal uw classificatie (essentieel of belangrijk).

2. Voer een gap-analyse uit tegen Artikel 21 vereisten.

3. Richt incidentmeldingsprocedures in.

4. Betrek het bestuur bij hun verantwoordelijkheden.

5. Gebruik complixo om NIS2 samen met EU AI Act en GDPR te beheren.