Uitslag: Belangrijk

Jouw organisatie wordt aangemerkt als een leverancier van belangrijke diensten. Dit is de lichtste categorie van organisaties. Bij de belangrijke aanbieders is het toezicht straks reactief. Dit betekent dat bij deze organisaties niet actief gecheckt zal worden of de wetgeving wordt nageleefd. Het toezicht zal achteraf plaats, als er aanwijzingen zijn dat er sprake is van een incident. Mocht na een incident blijken dat jouw organisatie niet de vereiste stappen heeft genomen, dan zul je te maken kunnen krijgen met mogelijke consequenties van het niet naleven van deze wetgeving.

Verplichtingen en gevolgen

Door de invoering van NIS2 dienen steeds meer bedrijfstakken uitgebreide cyberbeveiligingsnormen te hanteren, en belangrijke organisaties dienen actie te ondernemen om beveiligingsgevaren te beheersen. Dit houdt onder meer in dat ze back-ups moeten maken, risicobeoordelingen uitvoeren en incidenten die aanzienlijke gevolgen hebben voor de dienstverlening verplicht moeten melden. Om de administratieve belasting te verminderen, zal het management van een organisatie verantwoordelijk zijn voor het naleven van de bepalingen die voortvloeien uit de NIS2-richtlijn.

Zorg- en meldplicht

Alle organisaties die onder NIS2 vallen, of ze nu essentieel of belangrijk zijn, moeten aan hun zorgverantwoordelijkheid gaan voldoen. Daarnaast zal de meldverantwoordelijkheid van toepassing zijn op alle organisaties die onder de NIS2 vallen. Deze houdt in dat getroffen organisaties binnen 24 uur nadat ze zich bewust worden van een incident, melding moeten doen bij de bevoegde autoriteit, gevolgd door een rapportage binnen een maand.

Boetes en strafmaatregelen

De NIS2-richtlijn omvat een verplicht scala aan strafmaatregelen, zoals controles ter plaatse, beveiligingsaudits, veiligheidscontroles, informatieverzoeken en toegang tot gegevens. Sommige strafmaatregelen zijn identiek voor alle landen, andere niet, zoals gevolgen voor zware overtredingen. In dergelijke gevallen dienen de landen zelf te zorgen voor effectieve, proportionele en afschrikkende strafmaatregelen. Het soort strafmaatregel (strafrechtelijk of administratief) wordt eveneens door het land zelf bepaald en dienen afgestemd te zijn op de ernst en aard van de overtreding, en rekening te houden met factoren zoals de aangerichte schade, samenwerking met de bevoegde autoriteit en andere omstandigheden.

Naast of in plaats van andere maatregelen kunnen bestuurlijke boetes worden opgelegd, afhankelijk van het specifieke geval. Bij het toekennen van een bestuurlijke boete dienen dezelfde elementen als bij andere strafmaatregelen in overweging te worden genomen. Overtredingen kunnen resulteren in bestuurlijke boetes die oplopen tot maximaal 10 miljoen euro of 2% van de jaarlijkse wereldwijde omzet van het bedrijf, afhankelijk van wat hoger is. Lokale toezichthouders dienen hun eigen beleid te ontwikkelen voor het opleggen van dergelijke boetes.

Aan de slag?

NIS2 wordt in oktober 2024 van kracht en er is dus nog 12 maanden te gaan om te zorgen dat jouw organisatie klaar is! Ons jaarlijkse Event in de oktober Cyber Security-maand staat dit jaar in het teken van “NIS2 – nog één jaar te gaan!”. In één middag geven we de handvatten om jouw organisatie voor te bereiden en een duidelijk beeld te krijgen wat er moet gebeuren. Geen zware juridische kost maar we geven je een concrete behapbare lijst met de belangrijkste acties die ervoor zorgen dat je direct aan de slag kan en ook een duidelijke roadmap kunt schetsen voor jouw organisatie en collega’s.

Meer informatie en de mogelijkheid om direct in te schrijven via onderstaande link of via onze event-pagina op onze website.

Wil je niet wachten? Wij willen graag met je sparren en mogelijke route richting een grotere security weerbaarheid samen met je uitstippelen. Neem contact met ons op via 088-6546500 of via onderstaand formulier.