#Juridisch AdviesCompliance

De NIS2-richtlijn: versterking van de cybersecurity in Europa

Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Dit is een richtlijn die zich focust op een verbetering van de digitale en economische weerbaarheid van de Europese Unie.[1] De NIS2-richtlijn gaat gelden voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders vallen hier onder.[2] Lees meer over de inhoud van de richtlijn en ontdek of deze van toepassing is op jouw organisatie in deze informatieve blog! 

De NIS richtlijn

Voordat de NIS2-richtlijn was vastgesteld, werd in 2016 de richtlijn netwerk- en informatiesystemen (NIS-richtlijn) aangenomen door de Europese Unie. Dit was de eerste wetgeving op Europees niveau die moest zorgen voor een betere samenwerking tussen de lidstaten op het gebied van cybersecurity.[3]

Waarom de NIS-richtlijn?

Het niveau van wetgeving met betrekking tot netwerk- en informatiebeveiliging verschilde te veel tussen organisaties binnen de Europese lidstaten. Dit zorgde voor een sterk wisselend niveau in paraatheid, het vermogen om goed en snel te kunnen reageren bij incidenten.[4] Daarnaast betekende dit dat er een ongelijk niveau van bescherming was voor consumenten en bedrijven. Ook werd informatie over dreigingen en incidenten niet goed uitgewisseld.[5]

Het doel van de eerste NIS-richtlijn was om onze samenleving en economie te ondersteunen en om ervoor te zorgen dat het Europese beleid voor netwerk- en informatiebeveiliging een samenhangend geheel ging vormen. Dit moest bereikt worden door de verschillende wetten in de lidstaten op elkaar af te stemmen.[6]

Wat stond er in de eerste NIS-richtlijn?

De NIS-richtlijn verplichtte de lidstaten om hun paraatheid te verbeteren en om beter met elkaar samen te werken. Lidstaten moesten zowel aanbieders van essentiële diensten als digitale dienstverleners verplichten om geschikte maatregelen te nemen zodat beveiligingsrisico’s onder controle gehouden konden worden. Om er gezamenlijk voor te zorgen dat er geen incidenten plaatsvonden. En als er dan toch incidenten waren, ervoor zorgen dat de gevolgen zo klein mogelijk zouden zijn. Daarnaast werden lidstaten verplicht ernstige incidenten te melden aan de nationale bevoegde autoriteit of het CSIRT (computer security incident response team). Dat is een computercrisisteam van de overheid die hulp verleent wanneer er sprake is van een dreiging of incident in netwerk- en informatiesystemen van vitale aanbieders, onderdelen van het Rijk of digitale dienstverleners.[1]

De belangrijkste onderdelen van de richtlijn waren:

  1. Bredere reikwijdte.
  2. Aanwijzing van aanbieders van essentiële diensten.
  3. Het vaststellen van een uniforme nationale strategie[2].
  4. Aanwijzing van centraal contactpunt, CSIRT en een bevoegde autoriteit.
  5. Betere samenwerking op nationaal en Europees niveau.
  6. Beveiligingseisen, meldplicht en vrijwillige melding van incidenten.
  7. Strenger toezicht en hogere sancties.

Reikwijdte

De NIS-richtlijn was van toepassing op door de lidstaten aan te wijzen aanbieders van essentiële diensten (hierna: AED’s, niet te verwarren met het apparaat dat het hartritme weer kan herstellen bij een hartstilstand[3]). Deze AED’s vielen onder de sectoren die genoemd waren in bijlage II van de richtlijn.[4] Essentiële diensten zijn diensten die van groot belang zijn voor de instandhouding van kritieke, maatschappelijke en/of economische activiteiten[5], bijvoorbeeld energieleveranciers, telecombedrijven, de luchtverkeersleiding, etc.[6] De sectoren die in bijlage II genoemd waren zijn: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur. [7]  

Ook was de richtlijn van toepassing op digitale dienstverleners (hierna: DSP’s). Deze stonden in bijlage III van de NIS-richtlijn genoemd en zijn: aanbieders van onlinemarktplaatsen, onlinezoekmachines en cloudcomputerdiensten.[8] De verplichtingen van de richtlijn golden niet voor eventuele andere diensten die deze organisaties aanboden, zoals bijvoorbeeld de ICT van de winkels op Schiphol. Wel gold de richtlijn voor overheidsorganisaties die essentiële diensten aanbieden.

Aanwijzing van aanbieders van essentiële diensten (AED’S)

Voor de aanwijzing van AED’S gaf de richtlijn drie criteria:

  1. De aanbieder verleent een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke of economische activiteiten,
  2. De verlening van die dienst is afhankelijk van netwerk- en informatiesystemen, en
  3. Een incident zou grote verstorende effecten hebben voor de verlening van die dienst.

Nationale strategie

Elk lidstaat moest een nationale strategie opstellen voor de beveiliging van netwerk- en informatiesystemen. In deze strategie werden de strategische doelen en de concrete beleidsmaatregelen vastgelegd voor de sectoren die in bijlage II stonden en voor de digitale diensten, genoemd in bijlage III. In de strategie stond dus vastgelegd welke doelen de lidstaten willen behalen en op welke manier zij dit willen gaan bereiken.

Aanwijzing van centraal contactpunt, CSIRT en bevoegde autoriteit

Elke lidstaat moest één centraal contactpunt en één of meer CSIRT’s en bevoegde autoriteiten aanwijzen. Waarbij het centrale contactpunt een verbindingsfunctie had bij de samenwerking tussen de lidstaten. Daarnaast had het CSIRT onder andere de taak om te waarschuwen voor cyberrisico’s en te reageren op incidenten. Verder controleerde de bevoegde autoriteit of de beveiligingseisen en meldplicht werd nageleefd en legde indien dat nodig was sancties op.

Samenwerking op nationaal en Europees niveau

Omdat de verantwoordelijkheden van de bevoegde autoriteit, het centrale contactpunt en het CSIRT binnen een lidstaat verdeeld waren over meerdere instanties, moest er samengewerkt worden. Daarom werd er op EU-niveau een samenwerkingsgroep opgericht om strategische samenwerking en uitwisseling van informatie te ondersteunen en te voorzien. De samenwerkingsgroep bestond uit vertegenwoordigers van de lidstaten, de Europese Commissie en ENISA, het Europese Agentschap voor netwerk- en informatiebeveiliging. De samenwerkingsgroep kreeg elk jaar een verslag van de centrale contactpunten van de lidstaten over de ontvangen incidentmeldingen.

Daarnaast werd er een netwerk opgericht van nationale CSIRT’s, dat samengesteld was uit vertegenwoordigers van de CSIRT’s van de lidstaten en CERT-EU (het computer emergency response team voor de instellingen van de Europese Unie). Het doel van dit netwerk was om ervoor te zorgen dat er sneller en efficiënter samengewerkt werd tussen de lidstaten. Hierbij kon onder andere niet-vertrouwelijke informatie worden uitgewisseld over diensten, activiteiten, samenwerkingscapacititeiten en afzonderlijke incidenten.

a)     Beveiligingseisen, meldplicht en vrijwillige melding

Volgens de richtlijn waren AED’s en DSP’s verplicht om passende en evenredige technische en organisatorische maatregelen te treffen om ICT effectief te beschermen tegen inbreuken van buitenaf. Hiermee wordt bedoeld dat de maatregelen geschikt moesten zijn en in verhouding moesten staan met de kansen en gevolgen van een inbreuk. Technische maatregelen kunnen bijvoorbeeld zijn het beveiligen van apparatuur, software up-to-date-houden, back-ups maken, etc. Bij organisatorische maatregelen kun je denken aan het sluiten van geheimhoudingsovereenkomsten, een datalekprotocol opstellen, minder mensen in de organisaties toegang geven tot persoonsgegevens, etc.[1]  Verder moesten AED’s en DSP’s geschikte maatregelen nemen om incidenten te voorkomen. Als er toch een incident plaatsvond waren zij verplicht om ervoor te zorgen dat de gevolgen zo klein mogelijk waren. Daarnaast moesten AED’s en DSP’s incidenten met ernstige gevolgen melden bij de bevoegde autoriteit of het CSIRT. Om te bepalen of een incident ernstige gevolgen had, waren in elk geval de volgende factoren relevant: het aantal getroffen gebruikers, de grootte van het getroffen geografische gebied en de duur van het incident. Voor DSP’s kwamen daar nog twee factoren bij, namelijk hoe groot de verstoring van de werking van de dienst was en hoe groot de gevolgen waren voor de economische en maatschappelijke activiteiten. Ook bood de richtlijn een mogelijkheid voor het vrijwillig melden van niet-meldplichtige incidenten die grote gevolgen hebben voor het voortzetten van de door hen verleende diensten.[1]

Toezicht en sancties

Op de naleving van de beveiligingseisen en meldplichten moest toezicht gehouden worden en wanneer dit nodig was moest er handhavend worden opgetreden. De NIS-richtlijn was gericht op minimumharmonisatie, met uitzondering voor de DSP’s. Minimumharmonisatie betekent dat lidstaten strengere regels mogen opstellen dan is aangegeven in de richtlijn.[2] In het geval van de NIS-richtlijn konden lidstaten bijvoorbeeld aanvullende regels stellen en een onderwerp uitgebreider behandelen dan de bepalingen in de NIS-richtlijn, maar bijvoorbeeld ook dat de lidstaten de vrije keuze hadden om regels te stellen voor cybersecurity voor sectoren die niet onder de richtlijn vielen, zoals waterkeringen en nucleair. Voor de DSP’s was het in principe wel verboden om ander beveiligings- en meldingseisen te stellen.[3]

De NIS2-richtlijn

De EU-regels over cyberbeveiliging die in 2016 zijn ingevoerd zijn up-to-date gemaakt door de NIS2-richtlijn, die in 2023 in werking is getreden. Deze aanpassing is bedoeld om de oude wettelijke regels te vernieuwen en moderner te maken en aan te passen aan de toenemende digitalisering en de constante bedreigingen op het gebied van cyberveiligheid. Door cyberbeveiligingsregels op meer sectoren en entiteiten van toepassing te maken, wordt voor de bevoegde autoriteiten en de EU als geheel het vermogen om te herstellen op incidenten verbeterd. Maar ook het vermogen om snel en juist te reageren op cyberdreigingen.[4]

Wat staat er in de NIS2-richtlijn?

Reikwijdte van de NIS2-richtlijn ten opzichte van de oude NIS-richtlijn

Op grond van de oude NIS-richtlijn bepaalden lidstaten zelf de AED’s op wie de richtlijn van toepassing was en voor wie de verplichtingen die in die richtlijn stonden golden. Ook vielen DSP’s automatisch onder de NIS-richtlijn, met een uitzondering voor kleine en micro-organisaties. Kleine organisaties zijn ondernemingen die tussen de 10 en 49 mensen in dienst hebben. Ook moeten zij een jaaromzet hebben van minder dan 7 miljoen euro of een balanstotaal wat niet hoger is dan 5 miljoen euro. Micro-organisaties zijn ondernemingen met minder dan 10 werknemers in dienst.

Dit betekent dus dat middelgrote en grote DSP’s wel onder de NIS-richtlijn vielen. Middelgrote ondernemingen zijn ondernemingen met minder dan 25 werknemers in dienst, daarnaast moet hun omzet minder dan 40 miljoen euro zijn of hun jaarbalans minder dan 27 miljoen euro.[5] Onder grote ondernemingen wordt verstaan ondernemingen met meer dan 250 werknemers of een jaaromzet die hoger is dan 50 miljoen en met een jaarlijks balanstotaal hoger dan 43 miljoen euro.[6] Verder worden bij de nieuwe NIS2-richtlijn de AED’s niet zelf gekozen door de lidstaten zoals dat wel bij de oude richtlijn het geval was. In plaats daarvan vallen organisaties automatisch onder de richtlijn wanneer ze in één van de in bijlage I genoemde sectoren actief zijn. Ook zijn de sectoren waarbinnen sprake is van AED’s uitgebreid met een aantal nieuwe sectoren. Zo zijn de sectoren afvalwater, overheidsdiensten en ruimtevaart erbij gekomen. Daarnaast zijn er bij de bestaande sectoren ook extra subsectoren toegevoegd. Ook is de categorie ‘belangrijke entiteiten’ toegevoegd.

Daarnaast zijn DSP’s verdwenen als aparte categorie bij de nieuwe richtlijn, maar de aanbieders die daar binnen vielen blijven vallen onder de richtlijn en zijn verdeeld over de al bestaande categorie ‘essentieel’ en de nieuwe categorie ‘belangrijk’.

In de nieuwe richtlijn zullen essentiële entiteiten dus niet langer meer worden aangewezen door de lidstaten, maar door de richtlijn zelf. Wanneer organisaties in bijlage I van de nieuwe richtlijn genoemd staan zullen zij automatisch als essentiële entiteiten beschouwd worden. Ook belangrijke entiteiten worden door de nieuwe richtlijn zelf aangewezen, dit zijn organisaties die actief zijn in sector II van de bijlage. Hierbij geldt in principe een uitzondering voor kleine en micro-organisaties.

De richtlijn geldt dus in principe niet voor kleine en micro-organisaties. Toch kan het voorkomen dat de verplichtingen in de NIS2-richtlijn wel voor hen gelden wanneer zij voldoen aan een van de in deze richtlijn genoemde omstandigheden, bijvoorbeeld wanneer zij de enige aanbieder van een dienst in een lidstaat zijn. Ook mogen lidstaten onder de nieuwe richtlijn nog steeds extra entiteiten, die diensten in de lidstaat aanbieden, aanwijzen op wie de bepalingen uit de richtlijn van toepassing zijn. Er kan bijvoorbeeld voor worden gekozen om een kleine of micro-organisatie alsnog aan te wijzen op basis van een risicobeoordeling, bijvoorbeeld als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.[1]

De sectoren en subsectoren die genoemd staan in bijlage I zijn:

  1. Energie
  2. Elektriciteit
  3. Stadsverwarming en koeling
  4. Aardolie
  5. Aardgas
  6. Waterstof
  7. Transport
  8. Lucht
  9. Spoor
  10. Water
  11. Weg
  12. Bankwezen
  13. Infrastructuur financiële markt
  14. Gezondheidszorg
  15. Drinkwater
  16. Digitale infrastructuur beheerders van ICT-diensten
  17. Afvalwater
  18. Overheidsdiensten
  19. Ruimtevaart[2]

De sectoren die genoemd staan in bijlage 2 zijn:

  1. Post- en koeriersdiensten
  2. Afvalstoffenbeheer
  3. Vervaardiging, productie en distributie van chemische stoffen
  4. Productie, verwerking en distributie van levensmiddelen
  5. Vervaardiging
  6. Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagsnostiek
  7. Vervaardiging van informaticaproducten en van elektronische en optische producten
  8. Vervaardiging van elektrische apparatuur
  9. Vervaardiging van machines, apparaten en werktuigen, niet eerder genoemd
  10. Vervaardiging van motorvoertuigen, aanhangers en opleggers
  11. Vervaardiging van andere transportmiddelen
  12. Digitale aanbieders
  13. Onderzoek[1]

Verplichtingen van aanbieders

Ten opzichte van de oude richtlijn zijn er aanvullende eisen gesteld met betrekking tot de naleving van de zorg- en meldplicht voor essentiële en belangrijke entiteiten. Zo is voor de zorgplicht een lijst met soorten maatregelen toegevoegd, waar aanbieders sowieso aan moeten voldoen. In deze lijst staat dat de maatregelen ten minste het volgende moeten omvatten:

  1. Beleid over het benoemen van risico’s en het beveiligen van informatiesystemen.
  2. Hoe incidenten worden behandeld.
  3. Hoe het bedrijf door kan blijven gaan met het leveren van diensten in geval van een incident[1], zoals back-up beheer en noodvoorzieningsplannen, en het vermogen om crisissen te controleren.
  4. De beveiliging van het netwerk van individuen, bedrijven, middelen, activiteiten en technologieën die worden gebruikt om de diensten te leveren[2], waaronder ook de aspecten die te maken hebben met de beveiliging van de relaties tussen elke entiteit en de leveranciers of dienstverleners die direct aan hun leveren.
  5.  Beveiliging bij verkrijgen, ontwikkelen en onderhouden van netwerk- en informatiesystemen, waaronder de reactie op en bekendmaking van kwetsbaarheden.
  6. Regels en werkwijzen om te beoordelen of de maatregelen voor het controleren van cyberbeveiligingsrisico’s ook echt helpen.
  7. Basispraktijken op het gebied van het behouden van een gezond ICT-systeem en op het gebied van cyberbeveiliging.
  8. Regels en werkwijzen over het gebruik van cryptografie (een manier om informatie te beveiligen tegen toegang door onbevoegden door toepassing van codes en methodes[3]), en wanneer dat van toepassing is, encryptie (het versleutelen van gegevens op basis van een willekeurige code[4]).
  9. Beveiligingsaspecten met betrekking tot personeel, toegangsregels en beheer van de bezittingen.

Wanneer dit nodig is, het gebruik van multifactor-authenticaties, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.[5]

Verder staat er in de NIS2-richtlijn een meldplicht. Hier staat onder andere in dat entiteiten incidenten die hun diensten ernstig kunnen verstoren binnen 24 uur moeten melden bij de toezichthouder. Daarnaast kan volgens de nieuwe richtlijn ook het bestuur van een organisatie aansprakelijk worden gesteld.[1]

Toezicht

In vergelijking met de oude richtlijn geeft de nieuwe NIS2-richtlijn een extra invulling van de toezichtsbevoegdheden en handhavingsmiddelen waarover de autoriteiten op zijn minst moeten beschikken bij het houden van toezicht. Een voorbeeld van deze bevoegdheden en handhavingsinstrumenten is dat de toezichthoudende autoriteiten de bevoegdheid moeten hebben om entiteiten te verplichten deel te nemen aan regelmatige en gerichte beveiligingscontroles die worden uitgevoerd door een onafhankelijke instantie of een bevoegde autoriteit.[2]

Samenwerking tussen autoriteiten

Onder de oude richtlijn was de NIS Samenwerkingsgroep opgericht en het CSIRT. Om samenwerking tussen de lidstaten te vergemakkelijken is er nog een nieuw netwerk opgericht door de NIS2-richtlijn dat moet zorgen voor een goede afstemming tussen nationale autoriteiten bij grote cyberincidenten en -crises. Dit is het Cyber Crises Liaison Organisation Network (CyCLONe).

Daarnaast zijn er nog meer onderdelen toegevoegd met betrekking op de samenwerking tussen lidstaten, zoals de organisatie van peer reviews tussen lidstaten. Peer reviews zijn beoordelingen tussen lidstaten onderling waarbij onder andere de nationale capaciteiten en de effectiviteit van het CSIRT door experts uit andere lidstaten wordt beoordeeld.

Een ander nieuw onderdeel is de eis voor lidstaten om een beleid op te zetten voor coordinated vulnerability disclosure (CVD), waarbij ook een autoriteit moet worden aangewezen die als bemiddelaar kan optreden tijdens een CVD-procedure. Doormiddel van een coordinated vulnerability disclosure worden ICT-kwetsbaarheden openbaar gemaakt aan organisaties. Iedereen die een ICT-kwetsbaarheid gevonden heeft bij een organisatie kan dat aan de betreffende organisatie melden. Op deze manier heeft de organisatie de kans om de kwetsbaarheid op te lossen voordat deze misbruikt wordt.

Door middel van een coordinated vulnerability disclosure beleid kunnen afspraken gemaakt worden over het melden van ICT-kwetsbaarheden. Zo kan worden vastgelegd dat er geen aangifte wordt gedaan als er een melding wordt gemaakt van een kwetsbaarheid. Het doel van een CVD is het verbeteren van de beveiliging van ICT-systemen door het delen van kennis over kwetsbaarheden.[3]

ENSIA (Eenduidige Normatiek Single Information Audit) zal een register met bekende kwetsbaarheden gaan bijhouden. ENSIA is het verantwoordingsinstrument voor informatieveiligheid dat gebruikt wordt door lidstaten om verantwoording af te leggen.[4] Daarnaast dienen lidstaten een maandelijks overzicht van ontvangen meldingen aan ENSIA door te geven.[5]

Wat betekent de NIS2-richtlijn voor jouw organisatie?

Tot eind 2024 hebben de Europese lidstaten de tijd om de NIS2-richtlijn op te nemen in de nationale wetgeving. Er moet een zorgplicht en meldplicht worden opgenomen, waaraan zowel publieke als private organisaties binnen bepaalde sectoren moeten voldoen.

Ondanks dat de concrete vertaling naar Nederlandse wetgeving pas net gestart is, kun je je wel alvast voorbereiden door maatregelen te treffen die de veiligheid en weerbaarheid van de processen en diensten verbeteren. Bijvoorbeeld:

  • Bekijken welke risico’s er zijn en deze risico’s onderzoeken.
  • Plannen opstellen over hoe het bedrijf door kan blijven gaan met het leveren van diensten in geval van een incident.
  • Kijken of er alternatieve individuen, bedrijven, middelen en technologieën gebruikt kunnen worden in het geval van een incident.
  • Zorgen voor bewustwording bij personeel van de risico’s en de te nemen maatregelen.

Ook is het verstandig om geld en middelen te reserveren dat nodig is om aan de richtlijn te voldoen.[1]

Conclusie

Het is essentieel dat de juiste maatregelen tegen cybercriminaliteit worden genomen. Op deze manier kan de cyberveiligheid en de weerbaarheid van de essentiële diensten in EU-lidstaten worden verbeterd. Cybercriminaliteit brengt grote risico’s en gevolgen met zich mee. Ook als je niet onder de NIS2-richtlijn valt is goede cyberveiligheid van belang.

Heb je hulp nodig of vragen over het naleven van de richtlijn? Neem dan contact op met Privacy1! Zo kunnen wij u helpen met het vinden van passende beveiligingsmaatregelen, het analyseren van beveiligingsrisico’s of het opstellen van beleid.  

Bibliotheek

[1] NIS2-richtlijn NIS2-richtlijn – Digitale Overheid

[2] Dit moet je weten over de NIS2-richtlijn – Digitale Overheid

[3] Cyberbeveiliging: EU-aanpak van cyber­dreigingen – Consilium (europa.eu)

[4] iStrategie – GGD GHOR Nederland

[5] Kamerstuk 34883, nr. 3

[6] iStrategie – GGD GHOR Nederland

[7] iStrategie – GGD GHOR Nederland

[8] CSIRT’s | Wet beveiliging netwerk- en informatiesystemen | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl)

[9] Een introductie tot de NIS2-richtlijn (direct.eu)

[10] Wat is een AED | Hartstichting

[11] Commentaar op Richtlijn (EU) 2016/1148

[12] Wet beveiliging netwerk- en informatiesystemen (Wbni) | Rijksinspectie Digitale Infrastructuur (RDI)

[13] Agentschap Telecom houdt toezicht op SIDN | Domeinnamen | SIDN

[14] Bijlage II Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie

[15] Bijlage III Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie

[16] Voorbeelden van beveiligingsmaatregelen | Autoriteit Persoonsgegevens

[17] Art. 20  lid 1 Richtlijn (EU) 2016/1148

[18] Tweede ronde van meldingen van het bedrijfsleven over ‘koppen’ in de Nederlandse wet- en regelgeving, juridisch bekeken.

[19] Commentaar op Richtlijn (EU) 2016/1148

[20] Richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie (NIS2-richtlijn) | Shaping Europe’s digital future (europa.eu)

[21] Definitie van kleine en middelgrote ondernemingen (MKB) (europa.eu) [1] Veelgestelde vragen: grote ondernemingen (rvo.nl)

[22] Welke sectoren en organisaties vallen onder de NIS2-richtlijn? | Over het NCSC | Nationaal Cyber Security Centrum

[23] Bijlage I Richtlijn (EU) 2022/2555

[24] Bijlage II Richtlijn (EU) 2022/2555

[25] Continuïteitsbeheer – NORA Online

[26] Wat is supply chain | Betekenis en vacatures // Talentmark

[27] Cryptografie: wat is het en hoe werk het? | NordVPN

[28] Wat is de betekenis van Encryptie? – Surelock

[29] Art. 21 lid 2 Richtlijn (EU) 2022/2555

[30] Art. 23 lid 4 Richtlijn (EU) 2022/2555

[31] Art. 32 lid 2 Richtlijn (EU) 2022/2555

[32] Wat is responsible disclosure? (veiliginternetten.nl)

[33] Veelgestelde vragen over de NIS2-richtlijn NIS2-richtlijn – Digitale Overheid

[34] Commentaar op Richtlijn (EU) 2022/2555

[35] Wat kunnen organisaties alvast doen om zich voor te bereiden? | Over het NCSC | Nationaal Cyber Security Centrum