Google 4.9 (34 beoordelingen)
Cybersecurity voor jou
Plan een persoonlijke demo
Terug naar Resource Center

NIS2 cyberwet voor essentiële bedrijven: wat is het verschil tussen NIS1 en NIS2?

8 april 2023 - Cyber security

Deel

Over NIS2

Sinds 16 januari 2023 geldt de Europese NIS2-richtlijn voor essentiële bedrijven. In Nederland kennen we de nieuwe cyberrichtlijn als NIB2. Het is de opvolger van de NIB1. Nederland heeft net als andere EU-landen tot 17 oktober 2024 de tijd om de nationale regels op de Europese standaard aan te passen. Wat gaat er veranderen? Wij zetten het voor je op een rij.

De NIS-cyberwet geldt nu voor essentiële bedrijven. Dat wil zeggen, de originele NIS1 geldt voor die sectoren. Vanaf 2024 gaan er ook richtlijnen gelden voor ‘belangrijke bedrijven’. Dat verbetert de cybersecurity in Nederland en in Europa bij een groter aantal middelgrote tot grote bedrijven.

Wat is de NIS2-richtlijn?

De NIS2 is de opvolger van de NIS1, die al jaren terug werd ingevoerd voor essentiële bedrijven. De nieuwe NIS2-richtlijn (officieel: Directive (EU) 2022/2555)) werd gepubliceerd door ENISA, de European Union Agency for Cybersecurity. De richtlijn schrijft minimale beveiligingseisen voor, net als de verplichting om (ernstige) incidenten te melden bij de nationale autoriteit of het Europese Computer Security Incident Response Team (CSIRT). De nieuwe richtlijn vervangt de oorspronkelijke, die in 2016 van kracht werd.

Dit zijn de belangrijkste verschillen tussen de NIS1 en NIS2:

  • Richtlijn geldt voor meer sectoren
    De NIS2 geldt voor essentiële bedrijven én belangrijke bedrijven. Meer middelgrote en grote bedrijven moeten zich aan de richtlijn gaan houden. De Nederlandse overheid mag daarnaast kleinere bedrijven met een hoog veiligheidsrisico aanwijzen, die er ook aan moeten gaan voldoen.
  • Lijst van minimale basisbeveiliging
    De richtlijn is concreter, dankzij een lijst met minimale basisbeveiliging die bedrijven moeten toepassen. De richtlijn legt een aanpak voor risicobeheersing op.
  • Verdeling in essentiële en belangrijke sectoren
    De nieuwe NIS-richtlijn verdeelt bedrijven in essentiële en belangrijke sectoren. Het verschil tussen exploitanten van essentiële diensten en aanbieders van digitale diensten verdwijnt.
  • Security in de keten aanpakken
    Bedrijven moeten security-risico’s in hun toeleveringsketen gaan aanpakken. Dat geldt ook voor risico’s die ontstaan door leveranciersrelaties.
  • Strenger toezicht
    Nationale autoriteiten mogen strenger toezicht houden en strenger handhaven. De nieuwe richtlijn trekt sanctieregelingen en rapportageverplichtingen in alle lidstaten gelijk(er).

Wat zijn essentiële bedrijven?

De NIS-richtlijn geldt voor essentiële bedrijven. Het gaat om deze sectoren:

  • Energie
  • Drinkwater
  • Afvalwater
  • Vervoer
  • Bank
  • Financiële markten
  • Digitale infrastructuur
  • Openbare besturen
  • Gezondheidszorg
  • Ruimte

Tip: Benieuwd welke bedrijven precies "essentieel" of "belangrijk" zijn? Download bij het CBS de tabel Sectoren die onder de NIB2-richtlijn vallen.

De nieuwe NIS2-richtlijn gaat ook gelden voor belangrijke bedrijven. Het gaat om deze sectoren:

  • Post- en koeriersdiensten
  • Verwerking en distributie
  • Afvalverwerking
  • Digitale aanbieders
  • Productiebedrijven
  • Chemische industrie
  • Voedselindustrie

Verschil in toezicht tussen essentiële en belangrijke bedrijven

Lokale autoriteiten zullen proactief toezicht houden op essentiële bedrijven. Het toezicht op belangrijke bedrijven vindt achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident.

Belangrijke en essentiële bedrijven krijgen een meldplicht en een zorgplicht. Zij moeten de beveiliging in hun toeleveringsketen in orde maken en helder communiceren over de manier waarop ze cyberincidenten afhandelen.

Waarom is de nieuwe richtlijn belangrijk?

De nieuwe NIS2-richtlijn moet netwerk- en informatiesystemen bij bedrijven beter beveiligen. Op die manier moeten Nederland en heel de Europese Unie minder kwetsbaar worden voor cyberaanvallen.

Minister Dilan Yeşilgöz-Zegerius (Justitie en Veiligheid) zei: “We zijn steeds meer afhankelijk van digitale processen, zeker nu we sinds corona steeds meer thuiswerken. Daarnaast zien we een groeiende digitale dreiging van zowel criminelen als statelijke actoren die, met een oorlog aan de oostgrens van Europa, voorlopig nog niet af gaat nemen. Het is daarom nu noodzakelijk om een volgende stap te zetten om het niveau van cybersecurity in de EU te verhogen. Hiermee voorkomen we dat digitale incidenten onze maatschappij ontwrichten.”

Minister Micky Adriaansens (Economische Zaken en Klimaat) vult aan: “We moeten alert zijn op de risico’s van cyberaanvallen. De impact kan groot zijn, zoals lege schappen in de winkels of uitval van industriële productie. Digitale veiligheid regelen, blijft een eigen verantwoordelijkheid van bedrijven en consumenten. Maar met deze wetgeving kunnen we wel een stap zetten om te zorgen dat het niveau van cyberbeveiliging omhoog gaat bij (middel)grote partijen in meer belangrijke sectoren.”

Krijg je een boete als je er niet aan voldoet?

Bedrijven die zich niet aan de nieuwe richtlijn houden, krijgen een waarschuwing, vervolgens een aanmaning en riskeren vervolgens een hoge boete. De maximale boete bedraagt 10 miljoen euro of twee procent van de totale jaaromzet van middelgrote tot grote bedrijven.

Schade door cybercriminaliteit voorkomen: wat kun je doen?

Zelfs zonder een cyberwet zoals de NIB2 in Nederland is het belangrijk om cybercrime serieus te nemen. Je beschermt jouw bedrijf met bijvoorbeeld:

  • Security by design
    Begin iedere vergadering met (digitale) veiligheid. Welke maatregelen neem je om misbruik te voorkomen en wat zijn de risico’s en kwetsbaarheden? Door daar standaard over na te denken richt je (nieuwe) systemen standaard veiliger in.
  • Beveiligde verbinding
    Gebruik een beveiligde verbinding voor jouw bedrijf. Voorkom dat anderen ongewenst kunnen meekijken of zelfs gegevens kunnen stelen. De veilige verbinding is wereldwijd beschikbaar, op ieder moment vanaf iedere locatie.
  • Train werknemers in cyberbeveiliging
    Wie niet weet wat de risico’s zijn kan zich daar onmogelijk tegen beveiligen. Train medewerkers en zorg dat ze kwetsbaarheden herkennen en niet in de val lopen als cybercriminelen die opzetten.

Hoe EyeOn Guardey gebruikt om te voldoen aan NIS2

Bedrijven die moeten voldoen aan NIS2 zijn verplicht om hun werknemers security awareness training aan te bieden.

Onze klant Gezamenlijke Brandweer Amsterdam is een essentiële organisatie en moet daarom voldoen aan de NIS2-regelgeving. Om ervoor te zorgen dat hun medewerkers voorbereid zijn op het herkennen van cyberbedreigingen, gebruiken ze Guardey om security awareness training aan te bieden. Elke week speelt hun team een korte challenge van 3 uur die hen helpt om langzaam cyber security kennis op te bouwen.

Lees het hele verhaal hier

Maak het makkelijk met Guardey

We begrijpen bij Guardey dat er misschien veel op je afkomt. Hoe voldoe je aan de NIS2, wat zijn de kwetsbaarheden bij jouw bedrijf en hoe voorkom je een hack, datalek of andere cybercrime?

Daarom maken we het je graag makkelijk. Met Guardey kies je in één keer voor een complete cybersecurity oplossing. We zijn plug & play, voor zowel een veilige verbinding, tegen schadelijke software én om jouw medewerkers professioneel (en leuk!) te trainen.

Dus wil je de cyberveiligheid van je bedrijf verbeteren en voldoen aan de nieuwe NIS2-richtlijn? Ontdek onze oplossing of stel ons je vragen. Dan leggen we je graag uit hoe je met Guardey in één keer heel toegankelijk, simpel en betaalbaar beschermd bent.

INHOUDSOPGAVE
GERELATEERDE BERICHTEN
Probeer Guardey

Guardey's security awareness trainingsoplossing stelt je werknemers in staat om cyberbedreigingen te herkennen en te melden.

Start 14 dagen gratis

Vaak gestelde vragen

Wat is gamification?

Gamification is het toevoegen van spelelementen aan niet-spelomgevingen, zoals security awareness training, om de deelname te verhogen en actief leren te bevorderen.

Wat zijn de voordelen van gamification in security awareness training?

Traditionele security awareness training kan vaak droog en saai zijn. Met gamification wordt de complexe materie omgetoverd tot een boeiende en gedenkwaardige ervaring.

Door spelelementen zoals uitdagingen, quizzen en beloningen te integreren, worden gebruikers gestimuleerd om actief te leren. Dit maakt de training leuker en bevordert een gevoel van competitie en prestatie. Deze combinatie zorgt voor een betere retentie en toepassing van cyber security kennis.

Waarom is het belangrijk om wekelijks security awareness te trainen?

Onderzoek toont aan dat tot 90% van de lessen van jaarlijkse of zelfs driemaandelijkse trainingen binnen een paar weken wordt vergeten. Guardey is ontwikkeld om gebruikers 365 dagen per jaar bewust te houden van cyberbedreigingen. Het spel wordt geleverd met korte, wekelijkse uitdagingen die de kennis van de gebruiker langzaam opbouwen en uiteindelijk leiden tot blijvende gedragsverandering.

Welke onderwerpen komen aan bod in Guardey's security awareness spel?

Guardey behandelt een breed scala aan onderwerpen om gebruikers te trainen over alle huidige relevante cyberbedreigingen, samengesteld in samenwerking met ethische hackers en onderwijskundigen. De onderwerpen die aan bod komen zijn phishing, werken op afstand, wachtwoordbeveiliging, CEO-fraude, ransomware, smishing en nog veel meer.

Hoeveel tijd kosten de wekelijkse uitdagingen?

Elke uitdaging duurt maximaal drie minuten om te voltooien.

Kan ik Guardey gebruiken om te voldoen aan de beleidsregels ISO27001, NIS2 en GDPR security awareness ?

Ja. ISO27001, NIS2 en GDPR vereisen allemaal dat alle medewerkers de juiste security awareness training krijgen. Guardey is altijd op de hoogte van de nieuwste cyberbedreigingen, beleidsregels en procedures.

Is security awareness training belangrijk voor alle werknemers of alleen voor specifieke functies?

Cyberbewustzijnstraining is cruciaal voor alle medewerkers, niet alleen voor specifieke functies. Elk personeelslid kan mogelijk een doelwit of een ongewild toegangspunt voor cyberaanvallen zijn. Training helpt bij het creëren van een beveiligingsgerichte cultuur en minimaliseert de risico's voor de hele organisatie.

Hoewel voor bepaalde functies gespecialiseerde training nodig kan zijn, moet een basisniveau van training voor iedereen toegankelijk zijn.

In welke talen is Guardey beschikbaar?

Guardey is beschikbaar in het Engels, Nederlands, Italiaans, Frans, Spaans, Duits, Pools, Zweeds en Deens.

Wil je meer vragen stellen?
Vraag een persoonlijke demo aan

Ontvang de laatste resources en nieuws, rechtstreeks in je inbox.

Meer interessante bronnen

Cybersecurity
De 10 beste security awareness assessments voor werknemers
Over NIS2
Cybersecurity
Cyber security opleiding voor studenten: de 10 beste oplossingen
Bedankt.
Cybersecurity
De 16 beste security awareness games voor werknemers in 2024
Resource center
Anouk CTA Guardey website
GRATIS 14-DAGEN UITPROBEREN

Ervaar Guardey vandaag nog.

  • Probeer volledig risicovrij
  • 24/7 support
Start 14 dagen gratis