De NIS2-richtlijn staat voor ‘Security of Network and Information Systems’. Het is de opvolger van de NIS-richtlijn die al eerder in 2016 werd ingevoerd. Het doel van de richtlijn is om de cyberbeveiliging en de weerbaarheid van cruciale organisaties in de EU te verbeteren. Naar verwachting wordt deze richtlijn in 2025 in Nederland geïmplementeerd.
Eén van de verschillen tussen de NIS en NIS2 is dat er meer sectoren en organisaties zijn opgenomen in de richtlijn. Dat betekent dat de NIS2 op een grote groep organisaties betrekking heeft. Daarin wordt er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties:
Essentiële organisaties
Essentiële organisaties zijn organisaties die cruciaal zijn voor de maatschappij. Denk aan bijvoorbeeld zorgaanbieders. Als deze organisaties worden getroffen door een beveiligingsincident, kan dat grote gevolgen hebben voor de samenleving.
Voorwaarden: Een essentiële organisatie is verplicht te voldoen aan de NIS2 in het geval er meer dan 250 medewerkers in dienst zijn óf wanneer er sprake is van een jaaromzet van meer dan 50 miljoen óf een balanstotaal van meer dan 43 miljoen.
Belangrijke organisaties
Belangrijke organisaties zijn ook van belang, maar hun impact is minder direct. Denk aan bijvoorbeeld laboratoriums. Hoewel een cyberaanval op deze organisaties schadelijk kan zijn, is de impact vaak minder ingrijpend voor de samenleving als geheel.
Voorwaarden: Een belangrijke organisatie is verplicht te voldoen aan de NIS2 in het geval er meer dan 50 medewerkers in dienst zijn óf als er sprake is van een jaaromzet/balanstotaal van meer dan 10 miljoen.
Twijfel je of jouw organisatie onder de NIS2 valt? De Rijksoverheid heeft een handige tool ontwikkeld om dit te controleren. Let op: de tool geeft een indicatie. De uitkomst geeft nooit 100% zekerheid.
Organisaties die onder de NIS2 vallen, hebben een aantal verplichtingen:
Naast dat organisaties meer verplichtingen hebben, wordt er waarschijnlijk ook beter op gehandhaafd. Voldoe je niet aan de richtlijn, dan kan je een waarschuwing of hogere boete dan voorheen verwachten. Ook kunnen bestuurders met de komst van de NIS2 persoonlijk aansprakelijk worden gesteld.
Om je als zorgorganisatie alvast voor te bereiden op de NIS2, kan je nu alvast een aantal stappen doorlopen:
De NIS2 komt er dus aan, al is het nog even de vraag wanneer de Nederlandse overheid deze richtlijn heeft omgebogen naar een wet. Door nu alvast in stapjes met jouw beveiliging aan de slag te gaan, voorkom je dat je later een enorm pakket aan taken hebt.
Vind je het lastig om te bepalen waar je moet beginnen? Wil je hulp bij een risicoanalyse of bij de implementatie van beveiligingsmaatregelen? Bruis helpt je daar graag mee verder. We zijn naast ISO9001, ISO27001 en NEN-7510 gecertificeerd. Dat betekent dat we strenge maatregelen hebben genomen om jouw gegevens te beschermen én dat we jou kunnen adviseren over hoe jouw organisatie dit het beste doet. Neem gerust contact met ons op, dan drinken we binnenkort een kop koffie.