FAQ NIS22024-06-26T10:19:41+00:00

Duik in de details van de NIS2

Nu je de basis van de NIS2 kent is het tijd om je in de details te verdiepen. Want waar moet je precies aan voldoen? Wat is het verschil tussen een ‘belangrijk’ en een ‘essentieel’ bedrijf? En hoe zit het met die meldplicht?

Bekijk alle veelgestelde vragen hieronder en leer meer!

WhatsApp NIS2 oktober
Wat is de NIS2?2024-06-26T10:34:19+00:00

De Europese NIS2-richtlijn wordt omgezet naar Nederlandse wetgeving: de nieuwe Cyberbeveiligingswet.

Deze wet houdt in dat je als organisatie vanaf eind 2024 verplicht bent om jezelf te registreren als NIS2-plichtig. NIS2 verplicht je tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen.

Deze maatregelen moeten aantoonbaar voortkomen uit een door het bestuur goedgekeurde risicoanalyse. Het bestuur, dat jaarlijks getraind moet worden, is bovendien aansprakelijk als de wetgeving niet wordt nageleefd. Ten slotte moeten incidenten nu binnen 24 uur gemeld worden.

Wat is de Cyberbeveiligingswet?2024-06-26T10:45:43+00:00

Op dit moment worden de Europese NIS2-richtlijnen omgezet naar Nederlandse wetgeving: deze gaat de ‘Cyberbeveiligingswet’ heten.

Vanaf wanneer geldt de NIS2?2024-10-17T07:37:36+00:00

Op dit moment wordt de Europese NIS2-richtlijn omgezet naar Nederlandse wetgeving: de nieuwe Cyberbeveiligingswet.

De (verwachte) tijdlijn ziet er als volgt uit:

  • 21 mei t/m 2 juli 2024
    Consultatieperiode Cyberbeveiligingswet: reageren op de wetgeving is mogelijk.
    FERM doet dit namens de participanten en publieke partners in de Rotterdamse Haven, deel jouw inbreng met ons!
  • 17 oktober 2024
    NIS2-richtlijn van kracht
  • *Derde kwartaal 2025
    Cyberbeveiligingswet van kracht, naar verwachting

*De Cyberbeveiligingswet (Cbw) zal naar verwachting in het derde kwartaal van 2025 in werking treden, op basis van de informatie op 17 oktober 2024 en de Kamerbrief van 16 oktober 2024. Maar, gezien de tijd die het implementeren in de organisatie kost (luister hiervoor bijvoorbeeld naar de ervaring van Corinne) is oktober een verstandige datum om aan te houden. 

Wat zijn de 18 sectoren die onder de NIS2 vallen?2024-06-26T10:44:42+00:00

Enkele kaders om te controleren of je onder de NIS2 valt: heb je meer dan 50 FTE óf een jaaromzet van meer dan 10 miljoen of een balanstotaal van meer dan 43 miljoen en ben je actief in een van de volgende 18 sectoren? Dan mag je ervan uitgaan dat je eronder valt.

  1. Energie
    elektriciteit
    stadsverwarming en -koeling
    aardolie
    aardgas
    waterstof
  2. Transport
    lucht
    spoor
    water
    weg
  3. Bankwezen
  4. Infrastructuur voor de financiële markt
  5. Gezondheidszorg
  6. Drinkwater
  7. Afvalwater
  8. Digitale infrastructuur
  9. Beheer van ICT-diensten (B2B)
  10. Overheidsdiensten
  11. Ruimtevaart
  12. Post- en koeriersdiensten
  13. Afvalstoffenbeheer
  14. Chemische stoffen
  15. Levensmiddelen
  16. Vervaardiging / Manufacturing
    1. van medische hulpmiddelen en voor in-vitrodiagnostiek
    2. informaticaproducten en elektronische en optische producten
    3. elektrische apparatuur
    4. machines, apparaten en werktuigen, n.e.g.
    5. motorvoertuigen, aanhangers en opleggers
    6. andere transportmiddelen
  17. Digitale aanbieders
  18. Onderzoek
Wat zijn de voordelen van de NIS2?2024-06-26T10:41:59+00:00

Het voldoen aan de NIS2-richtlijn brengt inderdaad inspanningen met zich mee, maar het biedt juist veel meer voordelen voor organisaties.

Allereerst verbetert het de algehele cyberbeveiliging door vereiste maatregelen voor risicobeoordeling, beveiligingsmaatregelen en incidentrespons te implementeren. Dit verhoogt de weerbaarheid tegen cyberdreigingen en helpt organisaties sneller te herstellen van incidenten, waardoor de bedrijfscontinuïteit wordt gewaarborgd. Daarnaast versterkt naleving van de NIS2-richtlijn het vertrouwen van klanten en stakeholders door te laten zien dat de organisatie serieus omgaat met cyberbeveiliging, wat essentieel is voor het beschermen van de reputatie en het aantrekken van nieuwe klanten. Bovendien kan naleving een concurrentievoordeel bieden door de organisatie te onderscheiden van concurrenten en aantrekkelijker te maken voor klanten die waarde hechten aan veiligheid en betrouwbaarheid.

In essentie is naleving van de NIS2-richtlijn niet een last, maar biedt het tastbare voordelen die de investering waard zijn voor organisaties die cyberbeveiliging serieus nemen.

Is de NIS2 enkel gericht op externe dreigingen?2024-06-26T10:42:28+00:00

Nee, zeker niet. Terwijl de NIS2 zich richt op weerbaarheid tegen externe cyberdreigingen, mogen organisaties de interne dreigingen niet over het hoofd zien. Interne dreigingen, zoals menselijke fouten, nalatigheid en kwaadwillige insiders, vormen een aanzienlijk risico voor de cyberveiligheid en kunnen ernstige schade veroorzaken aan organisaties, ongeacht hun omvang.

Onder de NIS2-richtlijn zijn organisaties verplicht om niet alleen externe bedreigingen aan te pakken, maar ook interne kwetsbaarheden te identificeren en te beheren. Dit omvat het implementeren van passende toegangscontrolemaatregelen, het bewaken van interne systemen en het trainen van personeel over veiligheidsbewustzijn. Het naleven van de NIS2-richtlijn omvat daarom niet alleen het beschermen tegen externe aanvallen, maar ook het intern beheren van risico’s om een robuuste cyberbeveiligingsstrategie te waarborgen.

Hoe verhoudt NIS2 zich tot andere cybersecurity richtlijnen en wetgeving?2024-06-26T10:40:17+00:00

NIS2 is de vervanger van de eerste NIS-richtlijn, ook wel bekend als de NIB-richtlijn (ter beveiliging van netwerk- en informatiesystemen). Die NIB-richtlijn is eind 2018 in de Wet beveiliging netwerk- en informatiesystemen (Wbni) geïmplementeerd en in werking getreden. De Wbni zal door de Cyberbeveiligingswet worden vervangen.

Deze Cyberbeveiligingswet moet in Nederland zorgen voor een betrouwbare, voorspelbare, krachtige en veilige netwerk- en informatiesystemen en economie waar zowel bedrijven als burgers optimaal van kunnen profiteren. Waar wetgeving zoals de Cyber Resilience Act is gericht op de basis-cyberveiligheid van onze digitale producten (zoals apparaten en software), is het doel van NIS2 om de digitale veiligheid bij organisaties in Nederland te versterken en op niveau te brengen en houden.

Naast de NIS2 komt er voor een aantal sectoren ook sectorale wetgeving of verordeningen op organisaties af. Denk hierbij aan de Digital Operational Resilience Act (DORA), voor de financiële sector) en de Netwerkcode cyber security voor grensoverschrijdend elektriciteitsstromen (voor de elektriciteitssector).

Hoe helpt FERM hierin?2024-06-26T10:43:09+00:00

FERM zet zich in voor digitale veiligheid van bedrijven. Cyberweerbaarheid is én blijft de verantwoordelijkheid van bedrijven zelf, maar FERM kan je ondersteunen om de taken die hierbij horen te vervullen. Wat we ‘voor iedereen’ kunnen, doen we ‘voor iedereen’ en wat in vertrouwelijkheid moet, doen we in vertrouwelijkheid, met bedrijven die in FERM participeren.

Binnenkort organiseren wij informatiebijeenkomsten voor onze participanten. Participanten van FERM hebben ook elkaar om de NIS2 richtlijn te begrijpen en passende maatregelen bij bepaalde risico’s te definiëren. Met vouchers (waardebonnen) koop je cybersecuritydiensten in, als onderdeel van de gedefinieerde set maatregelen.

Aan deelname zit altijd een kosteloze proefperiode van 3 maanden verbonden. Dus wordt nu participant en maak kosteloos gebruik van het lidmaatschap in de voorbereiding op NIS2!

Wat moet ik doen om aan de NIS2 / Cyberbeveiligingswet te voldoen?2024-06-26T10:45:22+00:00

Om te voldoen aan de wetgeving heb je de verplichting tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen. FERM en haar netwerk helpen je hier stap voor stap bij. Samengevat zijn de volgende onderdelen belangrijk:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningen en crisisbeheer;
  • de beveiliging van de toeleveringsketen;
  • beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • de effectiviteit van maatregelen tegen cyberbeveiligingsrisico’s te kunnen beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding;
  • beleid en procedures inzake het gebruik van cryptografie en/of encryptie
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • multifactor-authenticatie– of beveiligde communicatie binnen de entiteit.
Gebruik bovenstaande links om je alvast verder te verdiepen in de maatregelen. En vergeet niet: je hoeft dit niet alleen te doen!
Maak onderstaand een afspraak met Thom voor vragen of start direct een proeflidmaatschap bij FERM! 
Wat zijn de ‘risicobeheersmaatregelen’?2024-06-26T10:43:27+00:00

Om te voldoen aan de wetgeving heb je de verplichting tot het nemen van risicobeheersmaatregelen op het gebied van cyberbeveiliging, inclusief beveiliging van de toeleveringsketen. FERM en haar netwerk helpen je hier stap voor stap bij. Samengevat zijn de volgende onderdelen belangrijk:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningen en crisisbeheer;
  • de beveiliging van de toeleveringsketen;
  • beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • de effectiviteit van maatregelen tegen cyberbeveiligingsrisico’s te kunnen beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding;
  • beleid en procedures inzake het gebruik van cryptografie en/of encryptie
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • multifactor-authenticatie– of beveiligde communicatie binnen de entiteit.
Gebruik bovenstaande links om je alvast verder te verdiepen in de maatregelen. En vergeet niet: je hoeft dit niet alleen te doen!
Maak onderstaand een afspraak met Thom voor vragen of start direct een proeflidmaatschap bij FERM! 
Wat houdt de ‘rapportageverplichting’ in?2024-06-26T10:43:49+00:00

Een meldplicht bij significante incidenten:

  • Binnen 24 uur een waarschuwing.
    Dit is een vroegtijdige waarschuwing, met een initiële beoordeling om onder meer te bepalen of er sprake is van kwaadwillende opzet en of het incident zich kan verspreiden naar andere sectoren/het buitenland
  • Binnen 72 uur een melding.
    Hier wordt wat meer in detail getreden, met onder andere een eerste beoordeling van het incident, inclusief de gevolgen en de ernst.
  • Binnen 1 maand een eindverslag.
    Een gedetailleerde beschrijving van het incident met onder andere de hoofdoorzaak die waarschijnlijk tot het incident heeft geleid en de getroffen maatregelen om het in de toekomst te beperken.
Wat houdt een vrijwillige melding in?2024-06-26T10:37:32+00:00
Er is altijd de optie om een vrijwillige melding van een cyberincident te doen bij het CSIRT, ook voor organisaties die niet onder de wet vallen. Ook bij deze vrijwillige meldingen kan het CSIRT de organisatie mogelijk hulp en/of bijstand verlenen.
Aan welke parameters moet een incident voldoen om als significant incident te worden beschouwd?2024-06-26T10:40:57+00:00

Er zijn nog geen parameters over wat een significant incident inhoudt. Dat gaat per sector verschillen en wordt nog gedefinieerd.

Daarnaast is het belangrijk om te vermelden dat niet alleen gaat over de schade die u heeft, maar ook over de schade die in de keten plaatsvindt. Dit maakt ook deel uit van het beoordelen of het een significant incident is. Ook hiervoor moeten de parameters nog worden uitgewerkt.

Hoe zit het met de aansprakelijkheid van de bestuurder van de organisatie waarover in artikel 20 in de NIS2 wordt gesproken?2024-06-26T10:39:58+00:00

De bedoeling achter deze bepaling in NIS2 is met name om bestuurders bewust(er) te maken van de essentie en het belang dat digitale veiligheid en weerbaarheid ten allen tijde op orde moet zijn en dat zij ook hierop moeten handelen. Volgens deze bepaling in de richtlijn kunnen bestuurders van een organisatie aansprakelijk worden gesteld als zij niet zorg dragen voor de naleving van de zorgplicht. Deze hoeft niet meer in het wetsvoorstel worden geregeld, omdat Nederlandse wetgeving al hierin voorziet.

Wel regelt het implementatiewetsvoorstel de verantwoordelijkheden van het bestuur en van de leden van het bestuur: Het bestuur van een organisatie die onder de implementatiewet valt, moet de beveiligingsmaatregelen goedkeuren en erop toezien dat deze goed door de organisatie worden uitgevoerd (zie ook artikel 20, eerste lid, NIS2).

Daarnaast dienen de leden van het bestuur van de betreffende organisatie te beschikken over kennis en vaardigheden om tot een goed besluit betreffende de beveiligingsmaatregelen te komen. Dit kan bijvoorbeeld worden aangetoond door middel van een certificaat van deelname aan een relevante training.

Waar kan mijn organisatie zich registreren als NIS2-entiteit of -organisatie?2024-06-26T10:38:14+00:00

Registratie is nog niet mogelijk. De wet schrijft straks voor dat organisaties die onder de wet vallen zich moeten registreren.

Bij de registratie zal om de volgende gegevens worden gevraagd de naam van de organisatie;

  • de relevante sector en sub sector;
  • contactgegevens, zoals e-mailadres en telefoonnummer;
  • de lidstaten waar de organisatie diensten verleent;
  • de IP-range van de organisatie.

Op dit moment (zomer 2024) wordt er door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online portaal waar organisaties zichzelf moeten registreren als organisatie die onder de wet valt.

Wie wordt er allemaal gerekend onder de telling van het aantal werknemers?2024-06-26T10:41:17+00:00

Wanneer je de berekeningen maakt van het aantal werknemers/jaaromzet/winst, moeten de cijfers worden gebruikt die zijn opgenomen in de laatste goedgekeurde jaarrekening. Pas-opgerichte ondernemingen die nog geen jaarrekening hebben goedgekeurd, moeten een verklaring afleggen met daarin een in de loop van het boekjaar te goeder trouw gemaakte schatting (in de vorm van een ondernemingsplan). Dit ondernemingsplan moet de hele periode (boekjaren) bestrijken totdat de entiteit omzet zal genereren.

Wat is het verschil tussen een ‘essentieel’ en een ‘belangrijk’ bedrijf?2024-06-26T10:44:24+00:00

Er wordt voor de toepasselijkheid van de NIS2 een onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ bedrijven, en tussen ‘middelgroot’ (tussen de 50-250 medewerkers en een jaaromzet van 10-50 miljoen) en ‘groot’ (alles daarboven of een jaarlijks balanstotaal van meer dan 43 miljoen). Valt een bedrijf onder de sectoren 1 tot en met 11 en is er sprake van een grote entiteit, dan is het een essentieel bedrijf. De middelgrote entiteiten zijn ‘belangrijk’. Is sector 12 tot en met 18 van toepassing, dan vallen zowel groot als middelgroot onder belangrijk. Van essentiële entiteiten wordt over het algemeen aangenomen dat de uitval van hun diensten veel meer ontwrichtende impact heeft op de economie en samenleving, dan uitval bij belangrijke entiteiten. Essentiële entiteiten vallen daarom onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen.

Moet ik iets doen als ik niet onder ‘essentieel’ of ‘belangrijk’ val?2024-06-26T10:41:38+00:00
Nee, niet onder het toepassingsgebied vallen betekent zeker niet dat je niét met de NIS2 te maken krijgt.
Als leverancier van een bedrijf dat valt onder de reikwijdte van de NIS2, ben je eveneens verplicht om maatregelen te nemen. Dit komt doordat de bedrijven waaraan je als ondernemer levert en die onder de NIS2 vallen, moeten kunnen bewijzen dat hun leveranciers ook op het gebied van cyberveiligheid voldoen. Op deze manier draag je bij aan het voorkomen van risico’s voor de organisaties waar je aan levert. Zeker in de haven waar veel verschillende bedrijven onder de NIS2 gaan vallen, en de logistieke keten ontzettend verweven en complex is, zal je er mee te maken krijgen.
Hoe werkt toezicht?2024-06-26T10:37:11+00:00
Toezichthouders zien toe op de naleving van de verplichtingen op de wet. De Rijksinspectie Digitale Infrastructuur (RDI) is op dit moment toezichthouder op de naleving van de huidige Wbni voor de energiesector, de digitale infrastructuur en voor digitale dienstverleners. NIS2 richt zich op meer sectoren dan de huidige NIB-richtlijn.

Namens de minister van Economische zaken en Klimaat is RDI de beoogd toezichthouder op de volgende sectoren:

  • Energie
  • Digitale infrastructuur
  • Ruimtevaart
  • Vervaardiging/Manufacturing
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Onderzoek (deel van de sector)
  • Beheer van ICT-diensten

Organisaties die actief zijn in andere sectoren waar de NIS2 zich op richt, vallen onder het toezicht van de betreffende sectorale toezichthouder.

Welke organisaties krijgen proactief of reactief toezicht?2024-06-26T10:36:55+00:00

Als het gaat om toezicht wordt er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties. Bij ‘essentiële entiteiten’ heeft de uitval van hun diensten meer ontwrichtende impact op de economie en samenleving, dan uitval bij ‘belangrijke entiteiten’.

Essentiële organisaties vallen daarom onder een intensiever regime van toezicht, waarin zowel voor- als achteraf (proactief én reactief) toezicht wordt gehouden op de naleving van de verplichtingen.

Proactief toezicht houdt in dat de toezichthouder op ieder willekeurig moment een inspectiecontrole kan uitvoeren.

Voor belangrijke entiteiten geldt dat toezicht achteraf (dus reactief) plaatsvindt.

Reactief toezicht houdt in dat de toezichthouder alleen controles uitvoert na beveiligingsincidenten of wanneer bij de toezichthouder een melding binnenkomt. Ook als er een aanwijzing is die doet vermoeden dat de organisatie niet aan de wet voldoet. Artikel 33, lid 1 in NIS2 zegt hierover het volgende: “Wanneer het bewijs, de aanwijzing of informatie wordt geleverd dat een belangrijke entiteit beweerdelijk deze richtlijn, en met name de artikelen 21 en 23, niet nakomt, zorgen de lidstaten ervoor dat de bevoegde autoriteiten zo nodig maatregelen nemen door middel van toezichtmaatregelen achteraf.”

De toezichthouder ziet toe op de organisaties die aan de wet moeten voldoen, níet op de ketenleveranciers van deze organisaties.

Wat kan ik verwachten als ik geen actie onderneem?2024-06-26T10:42:47+00:00

De NIS2 behelst niet alleen de voorwaarde dat je je eigen cyberweerbaarheid onder controle hebt, maar bevat ook verplichtingen omtrent rapportage en richting je keten en leveranciers. Bedrijven kunnen verantwoordelijk worden gehouden bij incidenten, waarbij bestuurders aansprakelijke gesteld kunnen worden als geconstateerd wordt dat een organisatie niet voldoet aan de wet.

Er wordt voor de mogelijk opgelegde geldboetes en sancties een verschil gemaakt tussen ‘essentiële’ en ‘belangrijke’ bedrijven. Voor ‘essentiële’ bedrijven geldt voor het niet opvolgen van de zorgplicht of meldplicht een administratieve geldboete ter hoogte van 2% van de wereldwijde jaaromzet of € 10.000.000 in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort (afhankelijk van welk bedrag hoger is).

Indien de door de handhaver gevraagde actie niet binnen de gestelde termijn wordt ondernomen, krijgt de bevoegde autoriteit de bevoegdheid om al dan niet via de rechter een vergunning tijdelijk op te schorten, en een natuurlijk persoon (algemeen directeur of wettelijke vertegenwoordiger) tijdelijk te verbieden deze rol uit te voeren. Voor ‘belangrijke’ bedrijven is de boete minder hoog, namelijk 1,4% van de wereldwijde omzet of maximaal 7 miljoen euro. Daar geldt opschorting van de bevoegdheid en uit functie zetten van een natuurlijk persoon niet.

Wat doet een CSIRT?2024-06-26T10:37:53+00:00

Een Computer Security Incident Response Team (CSIRT) is een gespecialiseerde crisisteam dat reageert op computer – en informatie-beveiligingsincidenten. Een CSIRT heeft verschillende belangrijke taken, zoals monitoring, analyse, melding, incident response en het onderhouden van regie en coördinatie. Deze taken worden ook in de wet opgenomen. Het Ministerie van Economische Zaken en Klimaat heeft besloten de CSIRT-taken voor de sectoren waar zij verantwoordelijk voor is te beleggen bij het NCSC.

Welke CSIRT’s gaan relevant zijn voor het havengebied?2024-06-26T10:40:39+00:00
Er is (nog) geen sectoraal CSIRT voor de Rotterdamse Haven. De CSIRT gaat vallen onder het NCSC en krijgen ook vanuit hen ondersteuning. ISCACs worden ook gesteund door het NCSC.

“De Rotterdamse haven is een sterk netwerk. De voorbereiding op de nieuwe Cyberbeveiligingswet hoef je niet alleen te doen. Samen moeten we de cyberweerbaarheid van de haven verhogen.

FERM steunt de havenbedrijven hierbij en geeft toegang tot de juiste middelen. Zo helpen we elkaar om de beveiliging van de keten op orde te hebben!”

– Bas Janssen, managing director Deltalinqs

Maak een online afspraak met Thom

Vragen over de NIS2, Cyberweerbaarheid of wat FERM voor jouw organisatie kan doen?
Bekijk samen met Thom hoe jij ervoor staat en hoe FERM je verder helpt.

Ga naar de bovenkant