NIS2 versus NIS1: wat er in de praktijk verandert

U kent NIS1 misschien uit de hoek van vitale infrastructuur. Een kleine groep partijen had te maken met die regelgeving. NIS2 verandert dat fundamenteel. De scope is fors uitgebreid, de verplichtingen aangescherpt en de bestuurder is persoonlijk aan zet. Voor de meeste organisaties die nu pas met NIS2 te maken krijgen is het de eerste keer dat ze met deze regelgeving werken.

Bredere scope

NIS1 dekte een paar honderd organisaties in Nederland. NIS2 raakt naar schatting achtduizend organisaties. Achttien sectoren komen erbij, plus de categorie belangrijke entiteiten naast de bekende essentiële. Dat betekent dat ook middelgrote organisaties in productie, voedingsmiddelen, chemie en digitale dienstverlening voor het eerst onder cybersecurity-regelgeving vallen.

Strengere eisen aan uitvoering

NIS1 vroeg passende technische en organisatorische maatregelen zonder ze concreet te benoemen. NIS2 geeft in artikel 21 een lijst van tien specifieke zorgplichtmaatregelen. Risicoanalyse, supply chain veiligheid, cyberhygiëne, training, cryptografie, toegangsbeheer en multi-factor authenticatie staan expliciet als verplichting. Voor de meldplicht geldt nu een driestappen procedure: early warning binnen 24 uur, melding binnen 72 uur en eindrapport binnen één maand.

Bestuurder persoonlijk aan zet

NIS1 hield de organisatie verantwoordelijk. NIS2 voegt daar bestuurdersaansprakelijkheid aan toe. Bestuurders moeten zorgplichtmaatregelen goedkeuren, toezien op uitvoering en zelf training volgen. Bij ernstige tekortkomingen kan de toezichthouder een tijdelijk verbod op de bestuursfunctie opleggen. Voor veel bestuurders is dat aanleiding om de aanpak vroeg in handen van een specialist te leggen.

Strenger boete-regime

De boete-maxima onder NIS2 liggen een orde van grootte hoger dan onder NIS1 en sluiten aan op het AVG niveau. Voor essentiële entiteiten zijn de drempels strenger dan voor belangrijke. Voor uw aansprakelijkheidsverzekeraar en uw bestuur is dat een prikkel om vroeg met de aanpak te starten.

Wilt u weten wat dit voor uw situatie betekent? Stuur uw vraag via het formulier hieronder. Wij koppelen u binnen één werkdag aan een NIS2 specialist. Verwant: valt uw bedrijf onder NIS2.

Verwant: NIS2 specialist, NIS2 voor chemische industrie.