Geldt de NIS 2-richtlijn voor mijn bedrijf?

De nieuwe NIS 2-richtlijn zal vanaf het najaar 2024 voor veel bedrijven leiden tot omvangrijke nieuwe verplichtingen op het gebied van cyberveiligheid. Daarom is het van groot belang de cyberveiligheid binnen uw onderneming op orde te brengen. Als niet de juiste maatregelen worden genomen, loopt u het risico op een forse boete en kunt u mogelijk persoonlijk aansprakelijk worden gesteld. Door een antwoord te geven op onderstaande twee vragen, kunt u bepalen of de NIS 2-richtlijn ook gaat gelden voor uw bedrijf. Is dat het geval? Dan treft u daarnaast een kort overzicht van de belangrijkste voorwaarden waaraan moet worden voldaan.

Geldt de NIS 2-richtlijn voor mijn bedrijf?

De regels uit de NIS 2-richtlijn zullen vanaf het najaar van 2024 gaan gelden voor bedrijven binnen een uitgebreid scala aan sectoren. Met de volgende twee vragen kunt u snel bepalen of NIS 2 van toepassing is op uw onderneming.

1. Is uw onderneming werkzaam in een van de volgende sectoren?

Zo nee, dan hoeft uw onderneming waarschijnlijk niet te voldoen aan de eisen van NIS 2. Het kan echter zo zijn dat een lidstaat van de Europese Unie bepaalt dat een bedrijf dat niet in een van de genoemde sectoren werkzaam is toch aan de richtlijn moet voldoen.

Zo ja, ga verder naar de volgende vraag.

2. Is uw onderneming middelgroot of groot?

Micro of kleine onderneming

Indien uw onderneming minder dan 50 werkzame personen en een jaaromzet en jaarlijks balanstotaal van €10 miljoen of minder heeft, geldt deze als micro of klein. U hoeft dan in beginsel niet aan de vereisten van NIS 2 te voldoen.

Kritieke dienstverlening

Een micro- of kleine onderneming moet wel aan de Richtlijn voldoen indien de dienst die verleend wordt kritiek is. Dit is bijvoorbeeld zo als u de enige aanbieder bent van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten. Van een kritieke dienstverlening is ook sprake wanneer een verstoring van de geleverde dienst aanzienlijke gevolgen kan hebben voor de openbare veiligheid of volksgezondheid.

Ook bij een systeemrisico of specifiek belang kan uw onderneming, ondanks de grootte, toch onder NIS 2 vallen. Daarnaast kan een lidstaat een micro- of kleine onderneming aanwijzen, waardoor deze toch aan de NIS 2-richtlijn moet voldoen.

Middelgrote of grote onderneming

Indien uw onderneming meer dan 50 werkzame personen of een jaaromzet en jaarlijks balanstotaal van meer dan €10 miljoen heeft, geldt deze als (middel)groot. Uw organisatie is groot wanneer minimaal 250 personen werkzaam zijn of indien de jaaromzet hoger is dan €50 miljoen en het jaarlijks balanstotaal groter is dan €43 miljoen.

Grote en middelgrote ondernemingen die tot een van de eerder genoemde sectoren behoren, moeten voldoen aan de eisen van NIS 2.

Welke verplichtingen volgen uit de NIS 2-richtlijn?

Indien de NIS 2-richtlijn op uw organisatie van toepassing is, heeft u een drietal verplichtingen.

1. Opleiding

Leden van het bestuur dienen een opleiding te volgen over cyberveiligheid. Bestuursleden moeten namelijk voldoende kennis en vaardigheden hebben om risico’s op het gebied van cyberbeveiliging te kunnen identificeren. Ook moeten zij in staat zijn om cyberveiligheidsmaatregelen en de gevolgen ervan voor de bedrijfsvoering te kunnen beoordelen. Nog onduidelijk is of bestuursleden hiervoor een specifieke opleiding moeten volgen of dat zij zelf een algemene cursus over cybersecurity kunnen uitzoeken.

2. Preventieve maatregelen

U moet preventieve maatregelen nemen om de risico’s voor uw systemen te beheersen, cyberincidenten te voorkomen en de gevolgen van incidenten te beperken. Zo dient uw organisatie onder andere beleid te maken inzake het analyseren van cyberrisico’s en het beveiligen van informatiesystemen.

Ook moet uw bedrijf maatregelen nemen omtrent incidentenbehandeling, bedrijfscontinuïteit, de beveiliging van de toeleveringsketen en informatiesystemen, cyberhygiëne en encryptie. Verder bent u verplicht beleid en procedures te maken om de effectiviteit van beveiligingsmaatregelen te beoordelen. Zo doet u er goed aan uw systemen te (laten) controleren en op basis daarvan de nodige beveiligingsmaatregelen te nemen.

3. Reactief handelen

Hoewel u maatregelen moeten nemen om cyberincidenten te voorkomen, kan het natuurlijk nog steeds gebeuren dat zich een incident binnen uw organisatie voordoet. U doet er in dat geval goed aan het gemaakte beleid nauwgezet te volgen. Dit om de gevolgen van het incident zoveel mogelijk te beperken. Hiervoor is uiteraard ook van belang dat uw medewerkers op de hoogte zijn van dit beleid en weten wat ze moeten doen en bij wie ze terecht kunnen in het geval van een cyberincident.

Belangrijke of essentiële onderneming

Ieder bedrijf dat onder de NIS 2-richtlijn valt moet voldoen aan dezelfde eisen. Toch maakt NIS 2 een onderscheid tussen belangrijke en essentiële ondernemingen. Alleen grote ondernemingen die in een van de sectoren in de linker rij (van het eerder vermelde overzicht) werkzaam zijn, zijn essentieel. Alle andere ondernemingen waarvoor de NIS 2-richtlijn geldt, zijn in beginsel belangrijk. Dit onderscheid bepaalt de mate van toezicht op uw onderneming en de maximale hoogte van de sancties.

Toezicht en handhaving onder NIS 2

Indien uw onderneming wordt aangemerkt als belangrijk, vindt toezicht achteraf plaats. Pas wanneer de toezichthouder bewijs of een aanwijzing heeft dat uw bedrijf zijn verplichtingen niet nakomt zal hij maatregelen nemen. Indien uw onderneming essentieel is vindt naast reactief toezicht ook preventief toezicht plaats. Daarbij kan de toezichthouder, ook zonder aanwijzing, gebruikmaken van zijn controlebevoegdheden.

Reactief en preventief toezicht

De toezichthouder heeft de bevoegdheid uw onderneming te onderwerpen aan audits, inspecties ter plaatse en verplichtingen tot het verstrekken van informatie. Wanneer de toezichthouder op basis hiervan concludeert dat u zich niet aan de regels houdt, kan hij gaan handhaven.

Hierdoor kan uw bedrijf verplicht worden aanwijzingen op te volgen, klanten te informeren en op eigen kosten de nodige maatregelen te treffen om de inbreuk ongedaan te maken. Als uw onderneming essentieel is, kan de toezichthouder een certificering of vergunning tijdelijk ontnemen.

Ook kan de toezichthouder de rechter verzoeken een leidinggevende binnen uw organisatie tijdelijk te verbieden zijn functie uit te oefenen.

Boetes en aansprakelijkheid

Wanneer uw bedrijf niet voldoet aan de regelgeving uit NIS 2, kunnen sancties volgen.

Boetes

Aan een belangrijke onderneming kan een administratieve boete van maximaal € 7 miljoen of 1,4% van de totale wereldwijde jaaromzet worden opgelegd, afhankelijk van welk bedrag hoger is. Bij een essentiële onderneming is dit € 10 miljoen of 2%. Ook kunnen mogelijk dwangsommen worden opgelegd.

Aansprakelijk stellen

Daarnaast maakt de richtlijn het mogelijk om natuurlijke personen met vertegenwoordigings-, controle en beslissingsbevoegdheid binnen een essentiële onderneming persoonlijk aansprakelijk te stellen.

Conclusie

De NIS 2-richtlijn zorgt voor verregaande verplichtingen inzake cyberveiligheid voor uw bedrijf. De bestuurders moeten over de juiste kennis beschikken en uw organisatie is verplicht voldoende voorzorgsmaatregelen te nemen en adequaat te handelen bij een cyberincident. Wanneer uw onderneming niet aan de normen uit NIS 2 voldoet kan de toezichthouder gaan handhaven, boetes opleggen en mogelijk zelfs leidinggevenden persoonlijk aansprakelijk stellen.

De hierboven gegeven informatie geeft nog geen volledige behandeling van NIS 2. Daarvoor is de nieuwe Richtlijn te omvangrijk. Als u wilt weten wat de nieuwe NIS 2-richtlijn voor uw organisatie gaat betekenen, kunt u contact opnemen met onze gespecialiseerde IT-recht advocaten. Zij kunnen u precies vertellen of NIS 2 voor uw bedrijf gaat gelden, aan welke verplichtingen u moet voldoen en hoe u zich het beste kunt voorbereiden op de nieuwe NIS 2-richtlijn.