This website uses cookies. View our cookie policy
Close

De NIS-richtlijn (EU richtlijn betreffende de beveiliging van netwerk- en informatiesystemen) 

De NIS-richtlijn (EU) 2016/1148), internationaal bekend als de NIS Directive (Directive on security of network and information systems), streeft ernaar een hoog gemeenschappelijk niveau van netwerk- en informatiesystemen in de Unie tot stand te brengen. EU-lidstaten moesten de Richtlijn in hun nationale wetten omzetten vóór 9 mei 2018. 

Download hier onze gratis NIS Directive nalevingsgids
Klik hier om vandaag nog met een NIB deskundige te praten over hoe we u kunnen helpen

De reikwijdte van de NIS-richtlijn: wie moet de regels naleven?

De Richtlijn is van toepassing op:

  • Aanbieders van essentiële diensten (operators of essential services, OES’s) die gevestigd zijn in de EU; en
  • Digitaledienstverleners (digital service providers, DSP’s) die diensten aanbieden binnen de EU 1.

De richtlijn is niet van toepassing op DSP’s die als kleine en micro-ondernemingen worden beschouwd (ondernemingen met minder dan 50 werknemers met een jaaromzet en/of een balanstotaal van minder dan €10 miljoen). 


De NIS-richtlijn vereist OES’s en DSP’s om:

  • De juiste “technische en organisatorische maatregelen” te nemen om hun netwerk- en informatiesystemen te beveiligen; 
  • Rekening te houden met de nieuwste ontwikkelingen en mogelijke bedreigingen voor hun systemen; 
  • Gepaste maatregelen te nemen om beveiligingsincidenten te voorkomen, of op zijn minst de impact te minimaliseren om de continuïteit van de dienstverlening te waarborgen; en 
  • De relevante bevoegde autoriteit “onverwijld” op de hoogte stellen van eventuele beveiligingsincidenten “met aanzienlijke gevolgen” voor de continuïteit van de dienstverlening. 

Gevolgen voor het niet naleven van de NIS-richtlijn:

Alle lidstaten van de EU moeten hun eigen regels voor geldboetes vaststellen en de nodige maatregelen nemen om ervoor te zorgen dat deze worden toegepast. De boetes variëren sterk per lidstaat, maar ze kunnen oplopen tot vergelijkbare straffen met die van de AVG (algemene verordening gegevensbescherming), internationaal bekend als de GDPR (General Data Protection Regulation).

De bevoegde autoriteiten voor OES’s zullen de naleving van de Richtlijn regelmatig controleren; DSP’s worden alleen gecontroleerd indien de bevoegde autoriteit niet-naleving vermoedt. 


Wat is een aanbieder van essentiële diensten (OES)?

De NIS-richtlijn is gericht op het versterken van cyberveiligheid in sectoren die sterk afhankelijk zijn van informatie- en communicatietechnologie (ICT) en ervoor zorgen dat deze kritieke diensten (bijna) altijd functioneren. Bepaalde bedrijven die actief zijn in kritieke sectoren staan bekend als OES’s.

De sectoren die onder de NIS-richtlijn vallen, zijn:

  • Energie; 
  • Vervoer; 
  • Bankwezen; 
  • Infrastructuur voor de financiële markt; 
  • Gezondheidszorg; 
  • Levering en distributie van drinkwater; en 
  • Digitale infrastructuur. 

Wat is een digitaledienstverlener (DSP)?

De NIS-richtlijn is van toepassing op de volgende essentiële DSP’s die hun diensten gewoonlijk verlenen “tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten”.

De volgende organisaties worden als DSP’s beschouwd: 

  • Onlinezoekmachines 
  • Cloudcomputerdiensten 
  • Onlinemarktplaatsen 

Specifieke nalevingsvereisten voor DSP’s: 

DSP’s hebben hun eigen uitvoeringsverordening (internationaal bekend als de Implementing Regulation van de Europese Commissie, die verdere en duidelijkere vereisten specificeert. Deze uitvoeringsverordening stelt dat DSP’s “de vrijheid behouden om technische en organisatorische maatregelen te treffen die zij passend en evenredig achten ter beheersing van de risico’s […] zolang deze maatregelen een passend beveiligingsniveau waarborgen”.

DSP’s moeten bij het kiezen van zulke maatregelen rekening houden met:

  • De beveiliging van systemen en faciliteiten; 
  • Afhandeling van incidenten; 
  • Bedrijfscontinuïteit management; 
  • Toezicht, controles en tests; en 
  • Naleving van internationale standaarden. 

De Uitvoeringsverordening geldt vanaf 10 mei 2018 en is direct van toepassing binnen alle EU-lidstaten.


Wat moet er gedaan worden om de NIS-richtlijn na te leven? 

De beste manier om volledige naleving te bereiken is dat OES’s en DSP’s een programma voor cyberveerkracht implementeren dat het volgende omvat:

  • Robuuste cyberbeveiliging. 
  • Voldoende maatregelen ter preventie van cyberrisico's. 
  • Passende hulpmiddelen en systemen om incidenten te aan te pakken en melden. 

Volledige naleving bereiken via cyberveerkracht

Artikel 19 van de NIS-richtlijn moedigt het gebruik van Europese of internationaal aanvaarde normen en specificaties die relevant zijn voor de beveiliging van netwerk- en informatiesystemen aan. 

De NIS-richtlijn kan worden nageleefd door een geïntegreerd managementsysteem aan te nemen waarin ISO 27001 en ISO 22301 zijn opgenomen. Dit helpt uw organisatie bij het bereiken van een internationaal geaccepteerd model van cyberveerkracht dat gebaseerd is op de beste werkmethoden op het gebied van risicobeheer – op de exacte manier die deze wetgeving vereist – en de last van meerdere nalevingscontroles wegnemen.

Download hier onze gratis NIS Directive nalevingsgids

Waarom IT Governance?

  • We bieden verschillende diensten en producten waaronder advies, training en hulpmiddelen die helpen bij het naleven van de NIS-richtlijn. 
  • Onze unieke combinatie van technische expertise en steevaste staat van dienst in internationale managementsysteemstandaarden betekent dat we een volledige oplossing voor naleving kunnen leveren en het project van begin tot eind kunnen beheren. 
  • Als resultaat van onze samenwerking met organisaties in alle sectoren hebben we honderden projecten over de hele wereld geleid. 
  • We zijn onafhankelijk van leveranciers en certificatie-instellingen, en moedigen onze klanten aan om de best passende dienst te kiezen die aansluiten bij hun behoeften en doelstellingen.  
  • We hebben multidisciplinaire teams die rigoureuze penetratietests van uw systemen en netwerken kunnen uitvoeren, projectmanagers om nalevings- en uitvoeringsprojecten uit te rollen en uitvoerende expertise om uw raad van bestuur te informeren en een geschikte risicobeperkingsstrategie te ontwikkelen. 
  • We leveren praktisch advies, en werken volgens uw budget en organisatiebehoeften. Geen enkele organisatie of project is ons ooit te groot of te klein. 
  • We bieden duidelijke en transparante prijzen. 
Klik hier om vandaag nog met een NIB deskundige te praten over hoe we u kunnen helpen