Het is goed om te kijken of uw onderneming tot de sectoren hoort waar de NIS2 richtlijnen op van toepassing is, of dat uw bedrijf een toeleverancier is binnen deze keten. Beide scenario's vereisen actie. Lees verder over uw verantwoordelijkheden en hoe u kunt zorgen voor naleving van de richtlijnen.
De volgende sectoren krijgen te maken met de nieuwe NIS2-richtlijnen:
Als uw bedrijf tot een van de bovenstaande sectoren behoort én uw organisatie voldoet aan de gestelde criteria, dan wordt uw onderneming gezien als een essentiële of belangrijke entiteit en is de NIS2 regelgeving op termijn voor u van toepassing.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als u actief bent in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, dat achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.
Micro- en kleinbedrijven vallen nog niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector kan er echter wel voor kiezen om een micro- of kleinbedrijf alsnog aan te wijzen op basis van een risicobeoordeling. Bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Wanneer u leverancier bent van een bedrijf wat onder het toepassingsgebied van de NIS2 valt, moet u óók maatregelen treffen. De bedrijven aan wie u als ondernemer levert en die onder het toepassingsgebied van NIS2 vallen, moeten namelijk kunnen aantonen dat hun leveranciers ook cyberveilig zijn. Zo zorgt u ervoor dat de organisaties waaraan u levert geen risico's lopen.
“Oók organisaties die zelf niet onder het toepassingsgebied van NIS2 vallen, maar wél leveren aan organisaties die onder het toepassingsgebied van NIS2 vallen, moeten kunnen aantonen dat ze actief werken aan hun digitale veiligheid.”
Als u als leverancier binnen deze categorie valt, biedt het NIS2-keurmerk een duidelijk raamwerk van specifieke richtlijnen en ondersteuningen waardoor duidelijk wordt aan welke nieuwe eisen u moet voldoen. Dit is één van de manieren waarmee u op termijn aan uw opdrachtgevers, die moeten voldoen aan de NIS2-wetgeving, kunt aantonen dat u als toeleverancier de juiste veiligheidsmaatregelen hebt getroffen op het gebied van cybersecurity.
Sommige bedrijven die onder het toepassingsgebied van NIS2 vallen stellen nog aanvullende eisen waaraan hun leveranciers moeten voldoen. Ga als leverancier op tijd het gesprek aan met uw afnemers, zodat u weet wat er van u wordt verwacht.
Bron: Digitale Overheid