Wat betekent de NIS2-richtlijn voor jouw organisatie? Alles over de nieuwe EU-cybersecuritywetgeving.
In de snel evoluerende digitale wereld van vandaag speelt cybersecurity een belangrijke rol. Zeker ook wanneer (gevoelige) persoonsgegevens worden verwerkt met behulp van netwerk- en informatiesystemen. Met de door de EU vastgestelde NIS2-richtlijn (de richtlijn) wordt door middel van nieuwe wetgeving op Europees niveau beoogd de cybersecurity binnen de EU te verbeteren. Wil je weten of de richtlijn ook voor jouw organisatie van toepassing is? En zo ja, wat dit voor jouw organisatie betekent? Lees dan snel verder.
Wat houdt de NIS2-richtlijn in?
De richtlijn is de opvolger van de eerste NIS-richtlijn uit 2016 en heeft als doel het (verder) versterken van de cybersecurity in de EU. De Europese wetgeving wordt op dit moment omgezet in nationale wetgeving. De verwachting is dat de Nederlandse wetgeving pas in 2025 in werking treedt. Dat betekent dat ook pas dan zal worden gehandhaafd op nakoming van de verplichtingen uit de richtlijn. Dat neemt echter niet weg dat, als jouw organisatie onder het toepassingsbereik van de richtlijn gaat vallen, het belangrijk is om op tijd aan de slag te gaan met de verplichtingen die uit deze wetgeving zullen voortvloeien.
Is de NIS2-richtlijn van toepassing op jouw organisatie?
De richtlijn is niet op iedere organisatie van toepassing. De richtlijn is van toepassing op verschillende organisaties waarvan de dienstverlening van vitaal belang wordt geacht voor de maatschappij en economie. Hieronder vallen:
- onder andere verschillende soorten organisaties die actief zijn in de energieindustrie, de vervoerssector, het bankwezen en de gezondheidszorg;
- die meer dan 50 werknemers hebben; en
- een jaaromzet van meer dan EUR 10 miljoen of een jaarlijks balanstotaal van meer dan EUR 10 miljoen.
Voorts is de richtlijn onder andere van toepassing op aanbieders van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten en verleners van domeinnaamregistratiediensten. Dit ongeacht de omvang van deze organisaties.
Welke cybersecurityverplichtingen gelden als de richtlijn op jouw organisatie van toepassing is?
Als jouw organisatie onder het toepassingsbereik van de richtlijn valt dan geldt hiervoor een bijzondere zorgplicht. In het kader van die bijzondere zorgplicht zullen dan onder andere passende technische, operationele en organisatorische maatregelen moeten worden genomen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen waar jouw organisatie gebruik van maakt (1) te beheren en (2) om incidenten te voorkomen en (3) in geval van incidenten, de nadelige gevolgen hiervan te beperken.
Om te beoordelen welke beveiligingsmaatregelen jouw organisatie moet nemen, zal een risicobeoordeling moeten plaatsvinden. Bij het uitvoeren van de risicobeoordeling moet onder andere rekening worden gehouden met de mate waarin jouw organisatie aan beveiligingsrisico’s is blootgesteld, de omvang van jouw organisatie, de kans dat zich incidenten voordoen en de ernst van een incident mocht die zich voordoen.
Ook zal voor significante incidenten een meldplicht gelden. Afhankelijk van (onder andere) het aantal personen dat betrokken is bij een incident en de eventuele nadelige, financiële gevolgen hiervan, zal binnen 24 uur een (eerste) melding van een significant incident moeten worden gedaan.
Wat als jouw organisatie niet voldoet aan de cybersecurityverplichtingen uit de richtlijn?
Het moge duidelijk zijn dat het niet beschikbaar zijn van de netwerk- en informatiesystemen waarvan jouw organisatie afhankelijk is desastreuze gevolgen kan hebben. Los daarvan kan het niet nakomen van de voor jouw organisatie geldende cybersecurityverplichtingen straks ook leiden tot boetes tot wel EUR 10 miljoen of 2% van de totale jaaromzet. Genoeg redenen dus om snel aan de slag te gaan met het treffen van de nodige maatregelen in het kader van cybersecurity.
Tot slot
Neem vandaag nog contact op voor een vrijblijvend adviesgesprek over jouw compliance met de NIS2-richtlijn. Of over privacy & cybersecurity in het algemeen? Neem dan contact op met mij of één van mijn andere collega’s gespecialiseerd in privacyrecht.