NIS2-richtlijn — Wat FG's moeten weten

NIS2 is van toepassing op twee categorieën entiteiten: essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten omvatten sectoren als energie, transport, bankwezen, financiële-marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstverlening en openbaar bestuur. Belangrijke entiteiten bestrijken sectoren als postdiensten, afvalbeheer, productie, voedselproductie, chemicaliën en digitale aanbieders. De drempelwaarden voor omvang zijn eenvoudig: organisaties met 50+ werknemers of EUR 10+ miljoen jaaromzet in deze sectoren vallen automatisch onder het toepassingsgebied. Bepaalde entiteiten vallen echter ongeacht hun omvang onder het toepassingsgebied — zoals DNS-dienstverleners, TLD-registers en aanbieders van openbare elektronische-communicatienetwerken. Voor FG's betekent dit dat veel van uw bestaande klanten nu NIS2-verplichtingen kunnen hebben bovenop hun AVG-vereisten. Proactief identificeren welke klanten onder NIS2 vallen, positioneert u als een waardevolle strategische adviseur, niet slechts een compliance-afvinklijst.

NIS2 vereist dat betrokken organisaties een uitgebreide set cybersecurity-risicobeheermaatregelen implementeren. Deze omvatten: risicoanalyse en informatiebeveiligingsbeleid, incidentafhandelingsprocedures, bedrijfscontinuïteit en crisisbeheer, beveiliging van de toeleveringsketen, beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, beleid voor het beoordelen van de effectiviteit van cybersecuritymaatregelen, basale cyberhygiënepraktijken en -trainingen, beleid inzake cryptografie, personeelsbeveiliging, toegangscontrole en vermogensbeheer. Organisaties moeten ook significante incidenten melden bij hun nationale autoriteit binnen 24 uur voor een vroegtijdige waarschuwing, 72 uur voor een volledige melding en één maand voor een eindrapport. Deze drielaagse meldplicht is strenger dan de 72-uursmeldplicht voor datalekken onder de AVG en vereist goed voorbereide incidentresponsprocedures. De overlap tussen NIS2-beveiligingsmaatregelen en Artikel 32 AVG (beveiliging van verwerking) is aanzienlijk. FG's die hun klanten al adviseren over technische en organisatorische maatregelen onder de AVG zijn goed gepositioneerd om dit advies uit te breiden naar NIS2-compliance.

De belangrijkste verandering die NIS2 introduceert is persoonlijke aansprakelijkheid voor bestuurders. Artikel 20 vereist dat bestuursorganen de implementatie van cybersecuritymaatregelen goedkeuren en toezicht houden op de uitvoering. Zij moeten ook cybersecuritytrainingen volgen. Belangrijk is dat bestuursorganen persoonlijk aansprakelijk kunnen worden gesteld voor overtredingen. Boetes onder NIS2 zijn aanzienlijk: tot EUR 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten, en tot EUR 7 miljoen of 1,4% van de wereldwijde omzet voor belangrijke entiteiten. Deze komen bovenop — niet in plaats van — AVG-boetes. Dit aspect van persoonlijke aansprakelijkheid is wat urgentie creëert bij bestuurders. Als FG kunt u dit gebruiken om budget en aandacht te krijgen voor complianceprojecten die anders geprioritiseerd zouden worden. Bestuurders die AVG eerder als kostenpost beschouwden, zijn opeens zeer geïnteresseerd in compliance wanneer hun persoonlijke vermogen op het spel staat.

Als externe FG beschikt u al over diepgaande kennis van het gegevensverwerkingslandschap, de beveiligingsmaatregelen en de organisatiestructuur van uw klanten. Dit maakt u de natuurlijke adviseur voor NIS2-compliance — u hoeft niet vanaf nul te beginnen. Begin met het in kaart brengen van de overlap tussen AVG- en NIS2-vereisten. Veel van de technische en organisatorische maatregelen die uw klanten al hebben voor de AVG (versleuteling, toegangscontroles, incidentresponsprocedures) voldoen direct aan NIS2-vereisten. Documenteer deze overlap om klanten te laten zien dat ze niet vanaf nul beginnen. Bied NIS2-gereedheidsbeoordelingen aan als aanvullende dienst. Een gestructureerde controlelijst die alle NIS2-verplichtingen dekt, afgezet tegen wat de klant al heeft, biedt directe waarde en positioneert u voor doorlopende compliancemonitoring. Gebruik een tool die zowel AVG als NIS2 ondersteunt in een geïntegreerd dashboard. Aparte systemen onderhouden voor AVG-compliance en NIS2-gereedheid verdubbelt uw werkbelasting en maakt het moeilijker om synergieën te identificeren. Trustee.eu combineert beide in één weergave, zodat u holistisch kunt adviseren.