Vanaf eind 2024 is de NIS2-richtlijn in Nederland van kracht, wat een Europese richtlijn is die bepaalde cybersecuritymaatregelen oplegt aan organisaties.
Vanaf eind 2024 is de NIS2-richtlijn in Nederland van kracht, wat een Europese richtlijn is die bepaalde cybersecuritymaatregelen oplegt aan organisaties. Deze richtlijn zal ook voor bepaalde zelfstandig ondernemers gelden en heeft als doel het beschermen van digitale systemen en versterken van de weerbaarheid van organisaties tegen cyberaanvallen. Wat houdt NIS2 precies in en wat is de impact ervan op de zelfstandige professional? En hoe kunnen ondernemers zich daarnaast voorbereiden op deze richtlijn?
NIS2 staat voor Network and Information Security directive 2, en is de opvolger van de NIS-richtlijn uit 2016. De richtlijn is door de Europese Unie vastgesteld om bij te dragen aan cybersecurity en de weerbaarheid van organisaties in alle EU-lidstaten. De vernieuwde richtlijn heeft een grotere reikwijdte dan zijn voorganger doordat het meer sectoren omvat. Daarnaast onderscheidt NIS2 zich door de strengere meldingsvereisten bij incidenten en beveiligingsnormen.
De NIS2-richtlijn is gericht op risico's die een bedreiging vormen voor netwerk- en informatiesystemen, zoals cyberbeveiligingsrisico's. Met de komst van deze vernieuwde richtlijn moeten er ook meer Europese harmonisatie gerealiseerd worden, en een hoger niveau van cybersecurity bij bedrijven in allerlei sectoren. Momenteel wordt de richtlijn vertaald naar de Nederlandse wetgeving en eind 2024 zal het in werking worden gesteld.
De NIS2-richtlijn gaat gelden voor sectoren die al onder de vorige NIS-richtlijn vielen, waarnaast de richtlijn aan een aantal nieuwe sectoren geïntroduceerd wordt, zoals de sector Overheid. Onder andere de sectoren Energie, Bankwezen, Gezondheidszorg, Transport, Digitale Infrastructuur, ICT-diensten en Ruimtevaart vallen hieronder, maar de richtlijn is ook van toepassing op digitale aanbieders, post- en koeriersdiensten en bedrijven die werken met levensmiddelen en chemische stoffen. Als organisaties actief zijn in een van deze aangewezen sectoren vallen ze automatisch onder de NIS2-richtlijn.
Wat is de impact van NIS2 voor organisaties? De verplichtingen die worden voorgeschreven vanuit deze richtlijn zijn onder te verdelen in drie categorieën.
De zorgplicht verplicht organisaties om zelf een risicobeoordeling uit te voeren, op basis waarvan ze passende maatregelen dienen te nemen. Zo kunnen ze hun diensten zoveel mogelijk waarborgen en gebruikte informatie beschermen.
Daarnaast wordt er een meldplicht voorgeschreven, oftewel dat incidenten binnen 24 uur gemeld moeten worden bij de toezichthouder. Dit gaat om incidenten die de essentiële dienst sterk verstoren, zoals een cyberincident. Hierbij worden diverse factoren vermeld, zoals de tijdsduur van de verstoring, mogelijke financiële verliezen, en het aantal mensen dat door de verstoring geraakt is.
Tot slot komen organisaties die onder de richtlijn vallen ook onder toezicht te staan. Dit betekent dat een onafhankelijke toezichthouder toeziet op de naleving van de verplichtingen. Hierbij wordt gebruikgemaakt van bestaande verantwoordingsstructuren. Als een organisatie niet aan de eisen van de NIS2 voldoet, kunnen er aanzienlijke boetes volgen.
Interim, freelance en zzp professionals vallen dus ook in sommige gevallen onder de nieuwe NIS2-richtlijn, wat anders is dan bij zijn voorganger. Hierdoor is de richtlijn niet alleen van toepassing op grote organisaties en bedrijven, maar ook op middelgrote en een aantal kleine organisaties die bepaalde kritische diensten leveren in onder andere de hierboven genoemde branches. Zodoende geldt de NIS2 ook voor sommige zelfstandigen die werkzaam zijn in de gezondheidszorg, digitale infrastructuur, energie, transport, overheid, post- en koeriersdiensten en voedsel.
Of zelfstandigen moeten voldoen aan de richtlijn wordt bepaald middels een risicobeoordeling. Dit zal met name het geval zijn als de dienstverlening van een zelfstandige als cruciaal beschouwd wordt voor de Nederlandse maatschappij en economie, zoals ondernemers op het gebied van elektronische communicatiediensten en domeinnaamregistratie.
Voor de interimmers, freelancers en zzp'ers die wel onder de NIS2-richtlijn vallen vanaf eind 2024, zullen een aantal verplichtingen gelden. Volgens de zorgplicht moeten zij een risicobeoordeling uitvoeren en op basis hiervan passende maatregelen treffen. Tevens dienen zij zich dan aan de meldplicht te houden, door verstoringen op het gebied van security binnen de digitale dienstverlening te melden bij de toezichthouder binnen 24 uur. Deze regels zijn overigens niet alleen van toepassing op kantoren, maar ook buiten een fysieke locatie, zoals onderweg en thuis. Bovenal wordt het beheersen van alle datastromen van essentieel belang.
Organisaties kunnen zich op diverse manieren voorbereiden op de NIS2-richtlijn om eind 2024 niet voor verrassingen en uitdagingen te komen staan.
Allereerst kunnen organisaties die onder de NIS2-richtlijn vallen een risicoanalyse uitvoeren, waarmee ze risico's in kaart brengen van mogelijke digitale dreigingen. Dit soort dreigingen kunnen namelijk een impact hebben op de continuïteit van dienstverlening en het is belangrijk om hier weerbaar voor te blijven. Daarom is het essentieel om inzicht te verkrijgen in de digitale en fysieke dreigingen die een risico kunnen vormen en de bedrijfsprocessen kunnen verstoren.
Na het in kaart brengen van alle mogelijke risico's moeten deze ook beoordeeld worden om passende maatregelen te treffen. Organisaties kunnen hierbij ook met scenario's werken om te onderzoeken hoe de geïdentificeerde risico's de belangen en bedrijfsprocessen kunnen schaden. Op deze manier is het makkelijker om de impact van een risico in te schatten en te classificeren.
Op basis van de risico's die in kaart gebracht zijn, kunnen passende maatregelen getroffen worden. Er kunnen bijvoorbeeld crisisbeheersingsprotocollen en bedrijfscontinuïteitplannen opgesteld worden om de gevolgen van mogelijke incidenten te beperken. Daarnaast kunnen bedrijven en zelfstandigen alternatieve leveranciers identificeren om te voorkomen dat de continuïteit van hun dienstverlening verstoord raakt als er een leverancier uitvalt. Verder kunnen ondernemers zich verdiepen in principes van veilig digitaal ondernemen.
Organisaties die onder de NIS2-richtlijnen verplicht zijn om incidenten te melden, kunnen ook alvast procedures opstellen voor het monitoren, detecteren, oplossen en melden van incidenten. Zo worden de eisen van de meldplicht verankerd in de bedrijfsprocessen en kan er snel gehandeld worden bij een incident.
Meld je nu aan bij Bureau Ad Interim of stuur je cv naar ons op en wij maken de ideale match tussen opdrachtgever en zelfstandige professional.
