Geldt de NIS2-richtlijn voor mijn bedrijf?

De nieuwe NIS2-richtlijn zal vanaf het najaar 2024 voor veel bedrijven leiden tot omvangrijke nieuwe verplichtingen op het gebied van cyberveiligheid. Daarom is het van groot belang de cyberveiligheid binnen uw onderneming op orde te brengen. Als niet de juiste maatregelen worden genomen, loopt u het risico op een forse boete en kunt u mogelijk persoonlijk aansprakelijk worden gesteld. Door een antwoord te geven op onderstaande twee vragen, kunt u bepalen of de NIS2-richtlijn ook gaat gelden voor uw bedrijf. Is dat het geval? Dan treft u daarnaast een kort overzicht van de belangrijkste voorwaarden waaraan moet worden voldaan.

Datum:  13 juni 2023

Geschreven door:  Valerie Lipman

Leestijd:  +/- 2 minuten

De nieuwe NIS2-richtlijn zal vanaf het najaar 2024 voor veel bedrijven leiden tot omvangrijke nieuwe verplichtingen op het gebied van cyberveiligheid. Daarom is het van groot belang de cyberveiligheid binnen uw onderneming op orde te brengen. Als niet de juiste maatregelen worden genomen, loopt u het risico op een forse boete en kunt u mogelijk persoonlijk aansprakelijk worden gesteld. Door een antwoord te geven op onderstaande twee vragen, kunt u bepalen of de NIS2-richtlijn ook gaat gelden voor uw bedrijf. Is dat het geval? Dan treft u daarnaast een kort overzicht van de belangrijkste voorwaarden waaraan moet worden voldaan.

Geldt de NIS2-richtlijn voor mijn bedrijf?

De regels uit de NIS2-richtlijn zullen vanaf het najaar van 2024 gaan gelden voor bedrijven binnen een uitgebreid scala aan sectoren. Met de volgende twee vragen kunt u snel bepalen of NIS2 van toepassing is op uw onderneming.

1. Is uw onderneming werkzaam in een van de volgende sectoren?

Energie Post- en koeriersdiensten
Transport Afvalstoffenbeheer
Bankwezen Chemie
Infrastructuur voor de financiële markt Levensmiddelen
Gezondheidszorg Vervaardiging/manufacturing
Drink- of afvalwater Aanbieden van digitale diensten
Digitale infrastructuur Onderzoek
Beheer van ICT-diensten  
Overheid  
Ruimtevaart  

 

Zo nee, dan hoeft uw onderneming waarschijnlijk niet te voldoen aan de eisen van NIS2. Het kan echter zo zijn dat een lidstaat van de Europese Unie bepaalt dat een bedrijf dat niet in een van de genoemde sectoren werkzaam is toch aan de richtlijn moet voldoen.

Zo ja, ga verder naar de volgende vraag.

2. Is uw onderneming middelgroot of groot?

Micro of kleine onderneming

Indien uw onderneming minder dan 50 werkzame personen en een jaaromzet en jaarlijks balanstotaal van €10 miljoen of minder heeft, geldt deze als micro of klein. U hoeft dan in beginsel niet aan de vereisten van NIS2 te voldoen.

Kritieke dienstverlening

Een micro- of kleine onderneming moet wel aan de Richtlijn voldoen indien de dienst die verleend wordt kritiek is. Dit is bijvoorbeeld zo als u de enige aanbieder bent van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten. Van een kritieke dienstverlening is ook sprake wanneer een verstoring van de geleverde dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid of volksgezondheid.

Ook bij een systeemrisico of specifiek belang kan uw onderneming, ondanks de grootte, toch onder NIS2 vallen. Daarnaast kan een lidstaat een micro- of kleine onderneming aanwijzen, waardoor deze toch aan de NIS2-richtlijn moet voldoen.

Middelgrote of grote onderneming

Indien uw onderneming meer dan 50 werkzame personen of een jaaromzet en jaarlijks balanstotaal van meer dan €10 miljoen heeft, geldt deze als (middel)groot. Uw organisatie is groot wanneer minimaal 250 personen werkzaam zijn of indien de jaaromzet hoger is dan €50 miljoen en het jaarlijks balanstotaal groter is dan €43 miljoen.

Grote en middelgrote ondernemingen die tot een van de eerder genoemde sectoren behoren, moeten voldoen aan de eisen van NIS2.

 

 

Welke verplichtingen volgen uit de NIS2-richtlijn?

Indien de NIS2-richtlijn op uw organisatie van toepassing is, heeft u een drietal verplichtingen.

1. Opleiding

Leden van het bestuur dienen een opleiding te volgen over cyberveiligheid. Bestuursleden moeten namelijk voldoende kennis en vaardigheden hebben om risico’s op het gebied van cyberbeveiliging te kunnen identificeren. Ook moeten zij in staat zijn om cyberveiligheidsmaatregelen en de gevolgen ervan voor de bedrijfsvoering te kunnen beoordelen. Nog onduidelijk is of bestuursleden hiervoor een specifieke opleiding moeten volgen of dat zij zelf een algemene cursus over cybersecurity kunnen uitzoeken.

2. Preventieve maatregelen

U moet preventieve maatregelen nemen om de risico’s voor uw systemen te beheersen, cyberincidenten te voorkomen en de gevolgen van incidenten te beperken. Zo dient uw organisatie onder andere beleid te maken inzake het analyseren van cyberrisico’s en het beveiligen van informatiesystemen.

Ook moet uw bedrijf maatregelen nemen omtrent incidentenbehandeling, bedrijfscontinuïteit, de beveiliging van de toeleveringsketen en informatiesystemen, cyberhygiëne en encryptie. Verder bent u verplicht beleid en procedures te maken om de effectiviteit van beveiligingsmaatregelen te beoordelen. Zo doet u er goed aan uw systemen te (laten) controleren en op basis daarvan de nodige beveiligingsmaatregelen te nemen.

3. Reactief handelen

Hoewel u maatregelen moeten nemen om cyberincidenten te voorkomen, kan het natuurlijk nog steeds gebeuren dat zich een incident binnen uw organisatie voordoet. U doet er in dat geval goed aan het gemaakte beleid nauwgezet te volgen. Dit om de gevolgen van het incident zoveel mogelijk te beperken. Hiervoor is uiteraard ook van belang dat uw medewerkers op de hoogte zijn van dit beleid en weten wat ze moeten doen en bij wie ze terecht kunnen in het geval van een cyberincident.

Belangrijke of essentiële onderneming

Ieder bedrijf dat onder de NIS2-richtlijn valt moet voldoen aan dezelfde eisen. Toch maakt NIS2 een onderscheid tussen belangrijke en essentiële ondernemingen. Alleen grote ondernemingen die in een van de sectoren in de linker rij (van het eerder vermelde overzicht) werkzaam zijn, zijn essentieel. Alle andere ondernemingen waarvoor de NIS2-richtlijn geldt, zijn in beginsel belangrijk. Dit onderscheid bepaalt de mate van toezicht op uw onderneming en de maximale hoogte van de sancties.

Toezicht en handhaving onder NIS2

Indien uw onderneming wordt aangemerkt als belangrijk, vindt toezicht achteraf plaats. Pas wanneer de toezichthouder bewijs of een aanwijzing heeft dat uw bedrijf zijn verplichtingen niet nakomt zal hij maatregelen nemen. Indien uw onderneming essentieel is vindt naast reactief toezicht ook preventief toezicht plaats. Daarbij kan de toezichthouder, ook zonder aanwijzing, gebruikmaken van zijn controlebevoegdheden.

Reactief en preventief toezicht

De toezichthouder heeft de bevoegdheid uw onderneming te onderwerpen aan audits, inspecties ter plaatse en verplichtingen tot het verstrekken van informatie. Wanneer de toezichthouder op basis hiervan concludeert dat u zich niet aan de regels houdt, kan hij gaan handhaven.

Hierdoor kan uw bedrijf verplicht worden aanwijzingen op te volgen, klanten te informeren en op eigen kosten de nodige maatregelen te treffen om de inbreuk ongedaan te maken. Als uw onderneming essentieel is, kan de toezichthouder een certificering of vergunning tijdelijk ontnemen.

Ook kan de toezichthouder de rechter verzoeken een leidinggevende binnen uw organisatie tijdelijk te verbieden zijn functie uit te oefenen.

Boetes en aansprakelijkheid

Wanneer uw bedrijf niet voldoet aan de regelgeving uit NIS2, kunnen sancties volgen.

Boetes

Aan een belangrijke onderneming kan een administratieve boete van maximaal € 7 miljoen of 1,4% van de totale wereldwijde jaaromzet worden opgelegd, afhankelijk van welk bedrag hoger is. Bij een essentiële onderneming is dit € 10 miljoen of 2%. Ook kunnen mogelijk dwangsommen worden opgelegd.

Aansprakelijk stellen

Daarnaast maakt de richtlijn het mogelijk om natuurlijke personen met vertegenwoordigings-, controle en beslissingsbevoegdheid binnen een essentiële onderneming persoonlijk aansprakelijk te stellen.

Conclusie

De NIS2-richtlijn zorgt voor verregaande verplichtingen inzake cyberveiligheid voor uw bedrijf. De bestuurders moeten over de juiste kennis beschikken en uw organisatie is verplicht voldoende voorzorgsmaatregelen te nemen en adequaat te handelen bij een cyberincident. Wanneer uw onderneming niet aan de normen uit NIS2 voldoet kan de toezichthouder gaan handhaven, boetes opleggen en mogelijk zelfs leidinggevenden persoonlijk aansprakelijk stellen.

De hierboven gegeven informatie geeft nog geen volledige behandeling van NIS2. Daarvoor is de nieuwe Richtlijn te omvangrijk. Als u wilt weten wat de nieuwe NIS2-richtlijn voor uw organisatie gaat betekenen, kunt u contact opnemen met onze gespecialiseerde IT-recht advocaten. Zij kunnen u precies vertellen of NIS2 voor uw bedrijf gaat gelden, aan welke verplichtingen u moet voldoen en hoe u zich het beste kunt voorbereiden op de nieuwe NIS2-richtlijn.


Blijf scherp

Als advocaten voor ondernemers begrijpen wij het belang van voorop blijven. Samen met ons heeft u alle kansen en risico’s in het vizier. Neem gerust contact met ons op en laat u persoonlijk informeren over onze diensten.

Neem contact op