Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken

De Nederlandse Rijksinspectie Digitale Infrastructuur heeft een tool uitgebracht waarmee ondernemers kunnen zien of ze in de toekomst onder de NIS2-richtlijn vallen. Eind 2024 moeten bepaalde ondernemers onder die EU-richtlijn aan strengere beveiligingseisen voldoen.

De tool staat op de site regelhulpenvoorbedrijven.nl en is een initiatief van onder andere de Rijksinspectie Digitale Infrastructuur en het Digital Trust Center. Het gaat om een 'evaluatietool' waarmee bedrijven zelf kunnen schatten of ze in de toekomst aan de regels van de NIS2-richtlijn moeten voldoen.

Bedrijven moeten in de tool een aantal vragen beantwoorden, zoals onder welke sectoren en subsectoren ze vallen, waar hun hoofdkantoor staat en hoe groot de organisatie is. Ook kijkt de tool welke bestaande regels en wetten mogelijk al actief zijn voor die bedrijven. Na het invullen krijgen de bedrijven een indicatie of de richtlijn op hen van toepassing is. De instanties waarschuwen dat de tool vooral een indicatie geeft en dat er 'geen rechten kunnen worden ontleend' aan de tool. Bedrijven moeten bovendien zelf in de gaten houden of ze in de toekomst, na bijvoorbeeld groei, alsnog aan de richtlijn moeten voldoen.

NIS2 richtlijn tool evluatie

NIS staat voor 'Network and Information Security' en is een van de grote technologische richtlijnen die door de Europese Commissie zijn opgelegd. De richtlijn gaat over cybersecurity; hij bepaalt welke organisaties aan welke minimale beveiligingseisen moeten voldoen. NIS2 is een opvolger van de originele NIS-richtlijn uit 2016 en heeft onder andere nieuwe regels voor DNS-providers en registrars, bepaalt dat overheidsinstellingen sneller aan regels gebonden zijn, komt met een zorg- en meldplicht en schrijft meer toezicht door een onafhankelijke toezichthouder voor.

Naar alle waarschijnlijkheid wordt de NIS2-richtlijn eind volgend jaar van toepassing op onder meer Nederlandse bedrijven. Ergens in de komende weken begint daarover een consultatie. Daarna moet de richtlijn nog door het Europees Parlement worden goedgekeurd, maar de verwachting is dat dat gaat gebeuren. Aangezien het gaat om een richtlijn en geen verordening, moet de Nederlandse overheid hem ook nog omzetten in nationale wetgeving.

Reacties (44)

svennd 18 oktober 2023 10:57

Voor de belgen, het CCB heeft reeds een framework gepubliceerd voor de 3 niveau's (basic, important and essential)
https://ccb.belgium.be/nl/cyberfundamentals-framework
Leuk leesvoer

[Reactie gewijzigd door svennd op 23 juli 2024 08:54]

boolean @svennd • 18 oktober 2023 11:18

Dat er een NIS2-raamwerkje komt is leuk, maar in de praktijk zijn de meeste grote bedrijven (banken, verzekeraars, etc.) hier al jaren mee bezig en hebben ze hun eigen framework. De grootste uitdaging is nog altijd de vertaling van wet- en regelgeving naar interne procedures.

RobbieB @boolean • 18 oktober 2023 11:26

Voor banken en verzekeraars geldt NIS2 sowieso niet, daar gaat DORA gelden. En er zijn heel veel bedrijven die hier een zware kluif aan gaan krijgen, vooral in de productie-, maak- en voedselindustrie.

[Reactie gewijzigd door RobbieB op 23 juli 2024 08:54]

Woodsy @RobbieB • 18 oktober 2023 14:31

Dat is niet helemaal juist. De NIS2 directive raakt ook de financiële sector. DORA is een lex specialis ten opzichte van de NIS2. Dat staat ook in de verordening (16). Onder de NIS2 valt onder meer ook de bancaire sector en kritieke financiële infrastructuur. Heel simpel gezegd zijn beide van toepassing waarbij DORA prevaleert boven de NIS2 voor de financiële sector.
https://nl.m.wikipedia.org/wiki/Lex_specialis

Mad_Manic @Woodsy • 18 oktober 2023 15:43

Helemaal mee eens.

SunnieNL

@boolean • 19 oktober 2023 07:03

Nis2 is niet echt een raamwerk, het is een richtlijn zonder te zeggen hoe je het moet doen. Dat laat ze over aan de sectoren en landen, die vermoedelijk zullen verwijzen naar bestaande frameworks. In België lopen ze voorop door hun eerdere framework een update te geven wat een samenvoeging is van meerdere frameworks als de cis, nist csf en iso27001.

De belangrijkste zaken van de Nis2 is het management hoofdelijk aansprakelijk maken en daardoor budget vrij spelen. Daarnaast worden audits verplicht en voornamelijk de opvolging van audits.
De Nis2 beschrijft welke processen je zou moeten hebben, dat je technische maatregelen moet nemen het risico te verkleinen en dat je dit moet monitoren en bijsturen. Het lijken allemaal open deuren, maar veel bedrijven hebben dit niet in orde. In NL gaan we van 300 bedrijven in de NIS naar 3000 tot 5000 bedrijven onder de NIS2 en hun supply chain.

Om met de woorden van iemand anders te spreken, de Nis2 gaat niet om jouw bedrijf, het gaat om de gevolgen die de Nederlandse samenleving en andere bedrijven zouden hebben als jij uitvalt en het voorkomen daar van.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 08:54]

riddles @svennd • 18 oktober 2023 13:45

Dit is een mooi voorbeeld van hoe het ook kan. Ik zou heel graag zoiets zien vanuit de Nederlandse overheid. Deze is duidelijk gebaseerd op NIST, met links terug naar ISO27001/27002 ter referentie - en een duidelijk onderscheid tussen de eisen voor verschillende niveaus. Ziet er goed uit!

svennd @riddles • 18 oktober 2023 16:33

De hoop van de CCB is dat dit de referentie kan worden voor meer dan enkel België. De tijd zal uitwijzen of iedere lidstaat hun eigen implementie framework zal maken...

Cyberpuppy 18 oktober 2023 12:50

Handig hulpmiddel, maar veel te veel ophef rondom NIS2. Is slechts voor een paar honderd bedrijven in Nederland van toepassing.

Ook leuk dat ze altijd beginnen met een disclaimer. Je zou van de overheid toch mogen verwachten dat ze hun eigen regels kennen en een sluitend formulier durven te maken. Desnoods een quickscan (zonder rechten) en een uitgebreide versie.

Aldy @Cyberpuppy • 18 oktober 2023 13:57

Een disclaimer is niet vreemd, ook niet voor de overheid. Een goed voorbeeld is de belastingdienst. Jij bent zelf verantwoordelijk voor wat je invult. Dat geldt ook voor NIS2. Er wordt in het redactionele stuk al een voorbeeld gegeven, wanneer je bedrijf groeit kun je er opeens wel onder vallen.
Daarnaast is het nog geen wet en je weet niet in welke bewoordingen de wet wordt opgesteld en misschien zullen er nog veranderingen plaatsvinden in de tool.

Cyberpuppy @Aldy • 18 oktober 2023 15:49

Ik begrijp dat de wereld veranderd, en dan is het misschien nog wel logisch dat je dat vermeld.

Echter ik begrijp niet dat de overheid zich letterlijk nergens op wil vastleggen als het om uitspraken gaat. De overheid heeft er een belang bij dat bedrijven/burgers zich aan de regels houden. Dus wat is er mis met een tool die als je de juiste gegevens invult jou kan vertellen of je wel/niet onder deze regeling valt.

Het sentiment wat je hier wellicht een beetje in kunt lezen is dat van het gebrek aan vertrouwen in de overheid. Die wil zich nergens vastleggen en achteraf wordt de maat genomen en mag je voor de gevolgen opdraaien.

Aldy @Cyberpuppy • 18 oktober 2023 15:56

Ik bedacht later dat ik nog iets vergeten was te melden. Maar tegelijkertijd wist ik dat dit zou gebeuren in de reactie:
Het is bekend dat de overheid zich bedient van wollige en ambtelijke taal, die niemand vaak in één keer snapt. Zeker als er verwezen wordt naar een wettekst of soms meer in één zin, dan ben je verplicht deze er ook nog eens bij te pakken. Als jij ook zo'n taal zou gebruiken, dan zou jij ook beginnen met een disclaimer. $_/-\o_$ Maar gelukkig is dat niet nodig, want wij begrijpen elkaar.

Stronk @Cyberpuppy • 18 oktober 2023 13:19

Ik denk dat er ophef is doordat het gaat om kritische organen. Veel organisaties verantwoordelijk voor onze vitale infrastructuur gaan nu eindelijk geactiveerd worden om de cyberveiligheid op orde te krijgen, goed voor de maatschappij.

[Reactie gewijzigd door Stronk op 23 juli 2024 08:54]

Kapiteiniglo @Cyberpuppy • 18 oktober 2023 15:39

NIS2 kent een veeeeel breder toepassingsgebied dan de NIS1 dus het gaat echt niet meer om slechts een paar 100 organisaties zoals onder de NIS1.

Frame164 @Cyberpuppy • 18 oktober 2023 15:36

De overheid doet niets. Het zijn de mensen bij de overheid die het werk doen. En mensen zijn niet perfect.

SunnieNL

@Cyberpuppy • 19 oktober 2023 07:07

Niet een paar 100, dat was onder de NIS. Nu gaat het om 3000 tot 5000 bedrijven en daarnaast ook hun kritieke supply chain.

De overheid kan zijn regels nog niet kennen omdat de regels nog niet vast staan. De uitvraagronde over de nieuwe regels moet nog beginnen.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 08:54]

Cyberpuppy @SunnieNL • 23 oktober 2023 13:14

Ok dan. Een paar duizend. Uitgaande van 2.300.000 ingeschreven bedrijven in Nederland komen we dan op 0,2% van de bedrijven krijgt hier dus mee te maken. Oftewel. Allemaal grote jongens die links- of rechtsom allemaal al bezig waren met compliance. Dan zal er nu een enkel bedrijf zijn wat er nu "opeens" mee te maken krijgt. Dus ik blijf bij mijn standpunt, veel gedoe om niks.

Daarnaast. Als de overheid de regels nog niet heeft vastgesteld, kan ik als bedrijf ook nog niet veel doen. Zullen we toch moeten wachten tot er regels zijn.

SunnieNL

@Cyberpuppy • 23 oktober 2023 14:14

Nou geef ik er redelijk veel presentaties over. En het zal je verbazen hoeveel bedrijven er tot augustus nog niets van af wisten, er eigenlijk ook niet mee bezig waren. Voorbeeld: groot deel heeft geen MFA of PAM op admin accounts. Risico's zijn nog niet in kaart gebracht. Meldingen van Incidenten hebben vaak nog geen process of medewerkers weten niet van het proces of hoe een incident gemeld kan worden.

Daarnaast worden nog allerlei bedrijven uit de supply chain geraakt in de primaire workflows van de bedrijven die er onder vallen, ook de kleinere bedrijven. Als je primaire process uitvalt als de supply chain een cyber incident (of ander soort incident) heeft en niet kan leveren moet je dat risico in kaart hebben en er een fallback scenario voor hebben.

En de regels zijn misschien nog niet vastgesteld, artikel 21 geeft een vrij goed overzicht waar je aan moet voldoen en kun je al aan de slag met de huidige WBNI. Zeggen dat je nog niets kan omdat de regels nog niet bekend zijn is echt een no-go hier.

Snow_King

18 oktober 2023 11:01

Veel bedrijven onderschatten deze wetgeving nog heel erg. We hebben nu NIS1 (Wbni), maar NIS2 is wel een flink stuk strenger.

Ik werk voor een grote hosting partij in Europa en we zijn hier al een hele tijd mee bezig. Het hebben van ISO27001 is wel erg handig omdat je een ISMS moet hebben.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Snow_King • 18 oktober 2023 12:28

De NIS2 is niet alleen strenger maar er zijn ook branches toegevoegd die hieraan moeten voldoen waar er nog geen NIS(1) verplichting was.

riddles @Snow_King • 18 oktober 2023 13:42

Ik ben heel erg benieuwd naar de eisen van NIS2, maar ik heb ze eerlijk gezegd maar beperkt kunnen vinden. Op meerdere websites zie ik alleen de zorgplicht (risico-analyse en continuïteitsmaatregelen), de meldplicht bij incidenten en eventueel toezicht. Die eisen zijn wel heel hoog over.

Voor (semi-)overheidsorganisaties is er temminste nog de BIO. Ik ben persoonlijk geen groot fan van ISO27001/27002, maar het geeft wel een duidelijk kader.

Amandess @riddles • 18 oktober 2023 16:45

Hier nog iemand, hetgeen je online tegen komt is allemaal nog erg vaag.
Leuk zo'n tool om erachter te komen dat je eraan moet voldoen, maar dat is nog wel relatief gemakkelijk terug te vinden. (Overigens de tool zelf niet geopend)

Ik weet allang dat die bij ons van toepassing is, maar geef me dan gewoon de requirements door zodat ik kan zorgen dat ook alles geregeld/gedocumenteerd is waar we dat nog missen.
Is toch bizar dat de klok voor de deadline door tikt, maar de eisen nergens te vinden zijn?

De eisen van de BIO zijn een stuk gemakkelijker te vinden inderdaad, maar geen idee of ik dat 1 op 1 door kan zetten naar NIS2.
https://view.officeapps.l....xlsx&wdOrigin=BROWSELINK

Daar kwam ik bijv. ook iets tegen als verplicht een pw manager aanbieden aan personeel. Hebben we eerder naar gekeken, maar kwam er budgettair niet doorheen gezien bepaalde extra eisen die collega's eraan stelden, met als eindresultaat dat het er nooit gekomen is. Als ik dan een NIS2 directive heb om naar te verwijzen, dan opent dat toch wel weer mogelijkheden.
Zolang het geen extra inefficiëntie oplevert dan liever iets wat net niet goed genoeg qua wensen, dan helemaal niets en het nog meer missen.

Kan ook zijn dat we er al zijn omdat we ISO27001 & ISO27002 compliant zijn, maar geen idee..

Iemand al meer gevonden?

MnrWouterZ 18 oktober 2023 15:16

Het zou fijn zijn als er ook duidelijk gemaakt zou worden WAT er dan concreet wordt verwacht van bedrijven. Het EU document voor NIS2 zegt hier niet veel over en laat interpretatie over aan de lidstaten. Zolang deze uitwerking voor NL er niet is zullen bedrijven niet snel overgaan tot maatregelen.

Amandess @MnrWouterZ • 18 oktober 2023 16:49

Mee eens, hier worstelen wij ook al maanden mee. We weten allang dat we eraan moeten voldoen, maar het is lastig om hier een project voor op te tuigen als ik niet weet wat de exacte scope is.
Lijkt me duidelijk dat alles bij moet zijn qua updates/OS, maar er is zoveel meer.

Moet ik bijv. alle DB's gaan encrypten? Jaarlijks de security van al onze vendors (waar we al processing agreements mee hebben) laten auditen op security?
Moeten we SSO afschaffen omdat alles verplicht MFA wordt?
Moeten we alle medewerkers jaarlijks op security awareness sturen, of bijv. 3 maandelijks? Digitaal rijbewijs verplicht?

NauticalNiblett 18 oktober 2023 11:04

Heb hem net even doorlopen, heel comprehensive dus complimenten.

Heroic_Nonsense

18 oktober 2023 17:13

Hmmm

Ik bied kleinschalig webdesign aan, met een (wederverkoop van Vimexx) hosting-abonnementje.

Als je die NIS2-tool invult, kun je aangeven dat je wederverkoper bent voor domeinnaamregistraties. Dat ben ik, in feite, want ik leg ook meteen de domeinnaam vast voor mijn klanten. Er rolt dan het volgende advies uit:

"Domeinnaamregistratiedienst is geselecteerd als de enige relevante soort entiteit. De
NIS 2-richtlijn is van toepassing op uw organisatie. Kritiek belang is niet van toepassing."

Als ik het goed begrijp, moet ik dus de hele kerstboom optuigen om te voldoen aan NIS2? Dan kan ik beter stoppen met het regelen van domeinnamen voor klanten...

Of kan ik mij "verschuilen" achter Vimexx (die uiteraard wel aan de NIS2 moet voldoen)?

[Reactie gewijzigd door Heroic_Nonsense op 23 juli 2024 08:54]

3raser @Heroic_Nonsense • 18 oktober 2023 19:19

Ik heb precies dezelfde vraag. Leuk dat we domeinnamen verkopen en DNS diensten aanbieden, maar dit is allemaal op het platform van een derde partij. Wie moet er dan aan de NIS2 voldoen?

[edit] Als ik deze site lees dan denk ik dat je al snel kan concluderen dat kleine bedrijven die domeinnamen verkopen niet onder de regeling vallen. Zij zijn in geen geval een essentiële dienst.

[Reactie gewijzigd door 3raser op 23 juli 2024 08:54]

Roel1966

18 oktober 2023 21:36

Tja ik weet niet, tuurlijk is het goed dat de veiligheid van data goed in de gaten word gehouden maar dit maakt het wel voor veel bedrijven nog ingewikkelder allemaal. Zeker als ik hierboven diverse reacties lees van vooral kleine bedrijfjes, tja, dat brengt dan weer een heleboel extra uren werk met zich mee.

CPV 18 oktober 2023 11:23

Misschien is het voor de leken op dit gebied handig om NIS2 even in een paar woorden uit te leggen.

RobbieB @CPV • 18 oktober 2023 11:27

Het staat letterlijk uitgelegd in de 4e alinea…

jaenster

@RobbieB • 18 oktober 2023 11:36

Normaal gesproken erger ik mij aan mensen zoals @CPV die niet alles gelezen hebben en dan kritiek hebben op de inhoud. Echter, in dit specifieke geval is het best te begrijpen. Als je dit lees op een wat kleiner scherm, of mobiel. De grote image in het midden is ter hoogte van waar normaal een tweakers article eindigd. Het is best makkelijk om niet te zien dat er nog 2 alina's achter komen, gezien dit normaal niet het geval is

Edit: @aikebah Als je een reactie wil tikken moet je helemaal naar beneden scrollen, ik weet niet hoe snel jij bent maar ik doe dat in een veeg on mobile en op mijn desktop heb ik een infinte scroll muis, dus ben instant beneden. Dan ben ik niet actief aan het verwerken wat er tussen in staat, of het nou reacties zijn of meer inhoud.

[Reactie gewijzigd door jaenster op 23 juli 2024 08:54]

aikebah @jaenster • 18 oktober 2023 11:46

Echter om bij de reacties te komen moet je daar wel eerst nog voorbij scrollen. Beetje slordig dus wel lijkt me.

Auteur

TijsZonderH Nieuwscoördinator @CPV • 18 oktober 2023 11:33

Is de tweede helft van het artikel onduidelijk? Ik vind het van NIS lastig het kennisniveau in te schatten...

[Reactie gewijzigd door TijsZonderH op 23 juli 2024 08:54]

Keyb @TijsZonderH • 18 oktober 2023 11:40

Ik wilde al een epistel schrijven voordat ik de alinea's NA het screenshot zag. Gelukkig nog even dubbelgecheckt.

CPV @Keyb • 18 oktober 2023 12:19

Ik heb ook een paar keer gekeken, maar toch de uitleg onder het screenshot over het hoofd gezien.
Ik had een (korte) uitleg bovenin, na het noemen van de afkorting verwacht. Niet alsnog na eerst een uitgebreid verhaal erover.
Volgens mij is het goed taalgebruik om een afkorting, als dat nodig is, direct na het eerste gebruik uit te leggen.

RoestVrijStaal @CPV • 18 oktober 2023 13:17

Het screenshot zelf voegt ook niet al te veel toe.

Het is een screenshot van een website zonder dat de witruimte eruit is gesneden.
En nog wel op een resolutie waarbij kleine tekst onleesbaar is, zonder het plaatje in een aparte tab te openen en in te zoomen.

Volgens mij is het goed taalgebruik om een afkorting, als dat nodig is, direct na het eerste gebruik uit te leggen.

Geen idee of het goed taalgebruik is. Maar door het bij het eerste gebruik uit te leggen, wordt voorkomen dat lezers af haken. Of gelijk naar de reacties scrollen

codekloppertje @CPV • 18 oktober 2023 12:00

Ik ga er even vanuit dat PWC 't juist heeft.

De overheid vind dat de BIO voldoende is

[Reactie gewijzigd door codekloppertje op 23 juli 2024 08:54]

TheDiver @codekloppertje • 18 oktober 2023 14:19

De overheid vind de BIO voldoende tot op Departementaal Vertrouwlijk (Dep V) niveau. Daarboven geldt nog steeds het BIR en VIR.
Als de overheid zaken doet met de bijv. de NATO Restricted (Dep V) dan geldt het BIO niet.
Voor de EU gaat het zelfde gelden vanuit deze richtlijn
https://digital-strategy....l/policies/nis2-directive

Killjoy @TheDiver • 18 oktober 2023 18:39

De BIR geldt niet meer, want die is opgevolgd door de BIO. Ik denk dat je doelt op het VIR-BI. Die ziet op de verwerking van bijzondere informatie (staatsgeheime informatie)

https://wetten.overheid.nl/BWBR0033507/2013-06-01

Skywalker27 18 oktober 2023 13:51

Het is een vage tool wij bieden een intelligent logistiek netwerk aan. Maar kon hem zo 1,2,3 niet duidelijk aanwijzen in de tool terwijl we door de EU notabene aangemerkt zijn als essentieel.

TheDiver 18 oktober 2023 14:21

Wat ik mis is deze tool is dat de verantwoordelijkheid vanuit de wet (als deze is aangenomen) dat de bestuurders van een organisatie hoofdelijk verantwoordelijk zijn voor alles wat met cyber te maken heeft. Men kan het niet meer afschuiven op afdelingshoofden of wat dan ook. Men word ook verplicht de juiste cursussen te volgen als directie over cyber.
Dit zal voor veel bedrijven een hoofdbreken worden.

Frame164 @TheDiver • 18 oktober 2023 15:38

Gewoon iedereen die schuldig is moet verantwoordelijk worden gehouden. Of dat nu een developer is die bewust fouten heeft laten zitten, een tester die niet goed getest heeft, of een CEO die eindverantwoordelijk is.

Op dit item kan niet meer gereageerd worden.

Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken

Lees meer

Mag Hue een account verplichten?

Bug-waarschuwingen door de overheid

Reacties (44)

Sorteer op:

Weergave: