Bekijk hieronder alle quizvragen en juiste antwoorden van de NIS2-quiz.
Je hebt van de 10 vragen goed beantwoord!
Geen betalingsinformatie nodig.
Jouw antwoord:
A: De cybersecurity bij Europese bedrijven verbeteren
B: Het risico van datalekken verminderen
C: Europese maatregelen voor cyberveiligheid op elkaar afstemmen
D: Al het bovenstaande is juist
De NIS2 is de nieuwe Europese cybersecuritywet. De wet moet Europese bedrijven beter beschermen tegen cybercrime. Die betere bescherming moet bijvoorbeeld het risico op datalekken verkleinen.
Daarnaast is het doel om Europese beveiligingsmaatregelen op elkaar af te stemmen. Europarlementariër Bart Groothuis vertelt daarover bij de Kamer van Koophandel: “De technische ontwikkelingen gaan erg snel. NIS 1 geldt sinds 2018 en is verouderd. Niet elke lidstaat past de wet overal gelijk of strikt toe. Als je nu met andere Europese landen zakendoet of in meerdere landen een vestiging hebt, gelden er overal verschillende regels. Dat werkt niet. Daar gaan we één lijn in trekken.”
Jouw antwoord:
B: Organisaties met een omzet van meer dan 50 miljoen euro
C: Essentiële en belangrijke organisaties in specifieke sectoren
De NIS2 gaat gelden voor alle essentiële en belangrijke organisaties in sectoren uit de onderstaande tabel. Hiervoor gelden de volgende criteria:
Essentiële organisaties...
...zijn grote organisaties die actief zijn in een sector uit groep A in onderstaande tabel.
Een organisatie is groot bij:
1. 250 of meer werknemers of;
2. Jaarlijkse netto-omzet van € 50 miljoen of een balanstotaal van € 43 miljoen of meer.
Grote organisaties...
...zijn middelgrote organisaties die actief zijn in een bedrijfstak uit groep A of B in onderstaande tabel.
Een organisatie is middelgroot bij:
1. 50 of meer werknemers of;
2. Een jaaromzet of balanstotaal van 10 miljoen euro of meer.
Groep A (essentiële en belangrijke organisaties) | Groep B (belangrijke organisaties) |
Energie | Digitale aanbieders |
Vervoer | Post- en koeriersdiensten |
Bank | Afvalbeheer |
Infrastructuur | Voedsel |
Gezondheidszorg | Chemicaliën |
Drinkwater | Onderzoek |
Digitale infrastructuur | Productie en fabricage |
Afvalwater | |
Overheidsdiensten | |
Ruimte | |
Beheer van ICT-diensten |
Jouw antwoord:
A: Alleen essentiële organisaties worden gecontroleerd
B: Essentiële organisaties worden voor en na gecontroleerd, belangrijke organisaties alleen erna.
C: Er is geen onderscheid tussen essentiële en belangrijke organisaties.
De controle op essentiële organisaties zal strenger zijn dan die op belangrijke organisaties. Essentiële organisaties worden vooraf gecontroleerd.
Bij DigitalTrustCenter van het Ministerie van Economische Zaken en Klimaat lees je er het volgende over: ‘Essentiële entiteiten vallen onder een intensiever regime van toezicht; zowel vooraf als achteraf wordt er toezicht gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet of als een incident heeft plaatsgevonden.’
Jouw antwoord:
A: Ja
B: Nee
De NIS2 gaat ook voor het MKB gelden. Dat wil zeggen, voor essentiële en belangrijke organisaties in de genoemde sectoren.
Europarlementariër Bart Groothuis vertelt daarover bij de Kamer van Koophandel: “Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet. Dus ook kleine dienstverleners. We steggelen nog over wat we precies verstaan onder ‘essentieel’. Internet service providers, kleine fabrieken, bedrijven die te maken hebben met water of energie: dat soort bedrijven zullen als essentieel worden gezien.”
Jouw antwoord:
A: Een richtlijn, het gaat om veiligheidsaanbevelingen.
B: Wetgeving, die minimale basisbeveiliging voorschrijft.
C: Een Europese richtlijn die lidstaten moeten omzetten in wetgeving.
De NIS2 is de nieuwe Europese cyberwetgeving. Het is een Europese richtlijn die lidstaten integreren in hun nationale wetgeving.
De NIS werd op die manier in Nederland in 2018 geïntegreerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Over de NIS2 werd Europees in december 2022 een akkoord bereikt, dat een maand later van kracht werd. Lidstaten moeten de richtlijn binnen 21 maanden na dat moment integreren in hun nationale wetgeving. Dat betekent dat de wetgeving in Nederland uiterlijk in oktober 2024 van kracht wordt.
Let op: in Nederland spreken we van de NIB2 (Netwerk- en Informatiebeveiliging) in plaats van de NIS2.
Jouw antwoord:
A: Elke organisatie is verantwoordelijk voor haar eigen systemen.
B: Elke organisatie is verantwoordelijk voor de eigen systemen en die van leveranciers en anderen in de keten.
C: Elke organisatie is verantwoordelijk voor haar eigen systemen, die van leveranciers en anderen in de keten en die van andere (samenwerkings)partners.
De NIS2 maakt organisaties verantwoordelijk voor zowel de eigen systemen, die van leveranciers en anderen in de keten én die bij andere (samenwerkings)partners. De NIS2 verplicht op die manier bescherming tegen systeemrisico’s.
- Beveiligingsrisico's bij bedrijven in de toeleveringsketen kritisch onderzoeken
- Deelnemen aan risicobeoordelingen van de toeleveringsketen binnen de sector.
- Vaststellen van risicobeoordeling en -beheer van de toeleveringsketen voor derden.
- Neem maatregelen voor veilige elektronische communicatie met leveranciers.
- Breng klanten en autoriteiten op de hoogte van bedreigingen door derden.
Meer specifiek moeten organisaties volgens het NIS2 actief toezien op eventuele cyberrisico's in de (toeleverings)keten. Organisaties moeten:
- Vaststellen en beoordelen van bedreigingen voor producten en diensten van derden.
- Beleid, plannen en oplossingen ontwikkelen om bedreigingen aan te pakken.
- Maatregelen nemen om de inkoop en levering van producten en diensten van derden veilig te stellen.
Ten slotte moeten organisaties doorlopend monitoren, evalueren en de juiste maatregelen nemen om eventuele cyberrisico’s bij derde partijen serieus te nemen en op te pakken. Het is bijvoorbeeld belangrijk om regelmatig assessments te doen of zelfs audits te houden bij derde partijen. Daarnaast moet er regelmatig aandacht zijn voor overeenkomsten met leveranciers.
Als de beveiliging bij derde partijen onder de maat blijkt moeten organisaties daar zelf actie op ondernemen, inclusief het beëindigen van een samenwerking als dat nodig is.
Jouw antwoord:
A: Nee, het is een advies waarvoor de autoriteiten waarschuwingen geven.
B: Ja, tot maximaal 100.000 euro per incident.
C: Ja, tot maximaal 1.000.000 euro per incident
D: Ja, tot maximaal 10.000.000 euro of 2% van de wereldwijde jaaromzet
Net als bij de NIS kunnen autoriteiten boetes opleggen bij het niet naleven van de wetgeving. Het gaat om een boete tot maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet. Dat wat hoger is bepaald de hoogte van de boete.
Jouw antwoord:
A: Boetes of straffen kunnen lager uitvallen
B: Organisaties krijgen een certificering
C: Deze maatregelen hebben geen effect
Autoriteiten bepalen zelf welke boetes of sancties zij opleggen aan organisaties in overtreding.
Jouw antwoord:
A: Een onmiddellijke melding bij een datalek
B: Een onmiddellijke melding bij elk cyberincident dat de bedrijfsvoering beïnvloedt
C: Een eindrapport met een beschrijving van het incident, het soort bedreiging, de ernst en de gevolgen, en toegepaste en lopende maatregelen.
D: Al het bovenstaande
Organisaties moeten direct melding doen van alle cyberincidenten die invloed hebben op de bedrijfsvoering, waaronder datalekken.
Het Nationaal Cyber Security Centrum schrijft daarover: ‘De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT)’
De meldplicht houdt twee meldingen in:
Directe melding:
Organisaties moeten zo snel mogelijk een melding doen met de strikt noodzakelijke informatie, zoals wat er is gebeurd, wat de (mogelijke) oorzaak is en welke onwettige of kwaadwillende handeling er plaatsvond. Organisaties doen de melding bij de bevoegde nationale autoriteit of het CSIRT (Computer Security Incident Response Team). De autoriteit of het CSIRT zullen binnen 24 uur antwoorden op de melding.
Eindmelding:
Binnen een maand na de eerste melding moeten organisaties een eindverslag indienen. Dat verslag moet het volgende bevatten:
Jouw antwoord:
A: oktober 2023
B: maart 2024
C: oktober 2024
Er werd in december 2022 een akkoord bereikt op Europees niveau. Dat akkoord werd een maand later van kracht. Lidstaten hebben sindsdien 21 maanden de tijd om de NIS2 om te zetten naar nationale wetgeving.
Dat betekent dat de NIS2 uiterlijk in oktober 2024 in Nederland van kracht wordt.
Let op: in Nederland spreken we van de NIB2 (Netwerk- en Informatiebeveiliging) in plaats van de NIS2.