door Peter Vos | 2 jul, 2025 | Nieuws |
De Europese NIS2-richtlijn, bedoeld om de digitale weerbaarheid van lidstaten te versterken, zou op 17 oktober 2024 zijn omgezet in nationale wetgeving. Nederland heeft deze deadline echter niet gehaald. De implementatie, via de Cyberbeveiligingswet (Cbw), is vertraagd en wordt nu verwacht in het tweede kwartaal van 2026.
Wat is NIS2?
NIS2 (Network and Information Security Directive 2) is een herziening van de oorspronkelijke NIS-richtlijn uit 2016. De richtlijn beoogt een hoger niveau van cybersecurity in de EU door strengere beveiligingsnormen en meldingsvereisten voor incidenten op te leggen aan een bredere groep sectoren.
Nederlandse implementatie: de Cyberbeveiligingswet
In Nederland wordt NIS2 geïmplementeerd via de Cyberbeveiligingswet (Cbw), die de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) zal vervangen. De Cbw introduceert onder andere een zorgplicht, meldplicht en registratieplicht voor organisaties die als essentieel of belangrijk worden aangemerkt.
Vertraging in de implementatie
Hoewel de NIS2-richtlijn op 17 oktober 2024 in werking trad, heeft Nederland de deadline voor omzetting naar nationale wetgeving niet gehaald. De complexiteit van het traject, inclusief interdepartementale afstemming en consultaties, heeft geleid tot vertraging. De verwachting is nu dat de Cbw in het tweede kwartaal van 2026 in werking treedt.
Cyberbeveiligingsbesluit en sectorale regelingen
Het concept Cyberbeveiligingsbesluit, dat de Cbw verder uitwerkt, ligt momenteel ter behandeling bij de Tweede Kamer.Dit besluit bevat nadere invulling van de zorgplicht en sectorspecifieke regelingen. Ministeries zoals Binnenlandse Zaken en Volksgezondheid bouwen voort op bestaande normenkaders zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN7510.
Huidige situatie voor organisaties
Totdat de Cbw van kracht wordt, zijn organisaties nog niet verplicht om aan de nieuwe eisen te voldoen. Echter, bepaalde bepalingen van de NIS2-richtlijn hebben directe werking, zoals het recht op bijstand bij cyberincidenten door een Computer Security Incident Response Team (CSIRT).
Voorbereiding en bewustwording
Ondanks de vertraging roept de overheid organisaties op om zich alvast voor te bereiden op de komende wetgeving. Het Nationaal Cyber Security Centrum (NCSC) biedt informatie en tools om organisaties te helpen bij hun voorbereiding.Toch blijkt uit onderzoek dat slechts 26% van de decentrale overheden een implementatieplan heeft voor NIS2, en bijna een op de vijf nog moet beginnen met voorbereidingen.
Lemontree is er alvast klaar voor… jij ook?
De implementatie van de NIS2-richtlijn in Nederland verloopt met vertraging, maar de noodzaak voor versterkte cyberbeveiliging blijft onverminderd groot. Organisaties doen er verstandig aan om proactief maatregelen te nemen en zich voor te bereiden op de aankomende verplichtingen onder de Cyberbeveiligingswet. Lemontree is al klaar voor de komst van NIS2 in Nederland. Met onze ISAE3402 type II verklaring zijn onze processen aantoonbaar en bewezen kwalitatief in orde. Een belangrijke graadmeter voor partijen die hun IT (deels) willen uitbesteden.
door Peter Vos | 18 dec, 2024 | Nieuws |
De Europese Unie heeft de afgelopen jaren aanzienlijke stappen gezet om de cyberbeveiliging binnen haar lidstaten te versterken. Een van de belangrijkste initiatieven op dit gebied is de NIS2-richtlijn, de opvolger van de oorspronkelijke NIS-richtlijn (Netwerk- en Informatiebeveiligingsrichtlijn). De nieuwe richtlijn, aangenomen op 16 januari 2023, heeft als doel om de cyberweerbaarheid van essentiële en belangrijke sectoren te verbeteren. Maar wat houdt NIS2 precies in, en wat is de huidige status van de implementatie ervan in Nederland?
Wat is NIS2?
NIS2 staat voor Network and Information Security Directive 2 en richt zich op het vergroten van de digitale weerbaarheid van kritieke infrastructuren en diensten. Waar de oorspronkelijke NIS-richtlijn vooral gericht was op een beperkt aantal sectoren, zoals energie, transport, gezondheidszorg en waterbeheer, breidt NIS2 deze scope aanzienlijk uit. Nieuwe sectoren zoals voedselvoorziening, ruimtevaart en post- en koeriersdiensten vallen nu ook onder de richtlijn. Bovendien stelt NIS2 strengere eisen aan cybersecuritymaatregelen en rapporteerplicht bij incidenten.
Een van de belangrijkste vernieuwingen is de invoering van strengere sancties en toezichtmechanismen. Organisaties die niet voldoen aan de richtlijn kunnen zware boetes opgelegd krijgen, en toezichthoudende instanties hebben meer bevoegdheden om audits uit te voeren en naleving af te dwingen. Ook de harmonisatie van regels tussen lidstaten speelt een grote rol in NIS2, met als doel een gelijk speelveld te creëren binnen de Europese Unie.
Status van NIS2 in Nederland
Hoewel de NIS2-richtlijn al is aangenomen, zijn lidstaten verplicht om deze uiterlijk op 17 oktober 2024 om te zetten in nationale wetgeving. In Nederland is het Ministerie van Economische Zaken en Klimaat (EZK) verantwoordelijk voor deze implementatie. Er zijn inmiddels diverse stappen gezet om de richtlijn te verankeren in de Nederlandse wetgeving, maar de volledige uitvoering is nog in proces.
In maart 2023 publiceerde het EZK (Ministerie van Economische Zaken en Klimaat) een consultatiedocument waarin belanghebbenden konden reageren op de voorgestelde aanpak. Deze consultatie heeft geleid tot waardevolle feedback van bedrijven, brancheorganisaties en experts. Een belangrijk aandachtspunt hierbij is de afstemming tussen de NIS2-richtlijn en bestaande wet- en regelgeving, zoals de Wet beveiliging netwerk- en informatiesystemen (Wbni). Nederland zal deze wetten moeten aanpassen of uitbreiden om te voldoen aan de eisen van NIS2.
Daarnaast speelt ook de praktische uitvoerbaarheid een rol. Bedrijven maken zich zorgen over de extra kosten en administratieve lasten die de richtlijn met zich meebrengt. Het EZK heeft aangegeven hier rekening mee te houden door een evenwichtige aanpak te zoeken die enerzijds zorgt voor naleving van de richtlijn, maar anderzijds bedrijven niet onnodig belast.
Lemontree, NIS2, ISO27001 en ISAE 3402 type1 en type2
Afgelopen tijd is Lemontree druk bezig geweest met een baseline voor security en het verder professionaliseren van processen met als doel het verkrijgen van ISAE3402 verklaringen. Met als gevolg dat we in oktober de felbegeerde type2 verklaring mochten ontvangen. In dit ISAE3402 traject hebben we ons specifiek gefocust op beleid, procedures en richtlijnen die onder andere voor NIS2 belangrijk zijn. In combinatie met ISO27001 zijn hierin alle onderdelen van NIS2 afgevinkt en is Lemontree officieel NIS2 compliant.
Lemontree meer dan klaar voor NIS2
Hoewel NIS2 in Nederland door vertraging bij de overheid nog niet in de wetgeving is verankerd, is Lemontree al klaar om aan de Europese richtlijnen en wetgeving te voldoen. Dat betekent dat onze klanten kunnen vertrouwen op vooraf bewezen kwaliteit van (security)diensten. Om op het vlak van informatiebeveiliging nog meer waarde toe te voegen heeft Lemontree Managed Detection & response en securitytraining voor eindgebruikers aan het dienstenportfolio toegevoegd. Dat betekent dat klanten kunnen terugvallen op het continue monitoren van gebeurtenissen in de IT-omgeving en adequate opvolging als er dreigingen worden waargenomen. En, heel belangrijk, dat eindgebruikers door het gebruik van AI gedreven phishingmails en gamification cyberweerbaarder worden gemaakt.
door Peter Vos | 25 mei, 2023 | Nieuws |
Lemontree • Masters in ICT, Managed Service Provider uit Alphen aan den Rijn, heeft vandaag het proces voor de ISAE3402 type 1 verklaring afgerond met het ondertekenen van de geauditeerde verklaring. De door Lemontree opgestelde verklaring is door IT-auditor Hoek en Blok getoetst. Met deze verklaring toont Lemontree aan dat er voor klanten zekerheid is met betrekking tot juiste en gecontroleerde uitvoering van processen. Voor uitbestedende klanten belangrijk omdat diensten daarmee betrouwbaar zijn en risico’s adequaat zijn afgedekt.
Belangrijk voor klanten die outsourcen
Voor organisaties die processen uitbesteden is het steeds belangrijker om zekerheid te hebben over de kwaliteit en risicobeperking op deze processen. Het belang hiervan geldt in toenemende mate voor organisaties die aan hun accountant in het kader van de controle op de jaarrekening moeten kunnen aantonen dat uitbestede processen beheerst zijn.
“We zijn enorm trots op en erg blij met deze verklaring, waar we met het management team en veel collega’s geruime tijd hard aan hebben gewerkt. Het is een dikke punt op de i van de kwaliteit die we willen leveren aan klanten. Naast de 9,4 die we al acht jaar krijgen als klantwaardering, kunnen we nu middels de ISAE3402 verklaring aantoonbaar maken dat onze processen goed onder controle zijn.” aldus Sjoerd Eckhardt, adjunct directeur bij Lemontree.
Interne processen en beveiligingsstandaard bij klanten
Lemontree heeft er bij het opstellen van normenkader, die relevant is voor de ISAE3402 verklaring, voor gekozen niet alleen naar de eigen processen te kijken, maar ook mee te nemen op welke wijze de klantomgeving is ingericht ten opzichte van een algemeen geaccepteerde beveiligingsstandaard. Dit om risico’s in de klantomgeving voor zowel Lemontree als voor haar klanten inzichtelijk te maken en deze gezamenlijk te beheersen. Het doel hiervan is om in de samenwerking tussen Lemontree en klanten een proces van continue verbetering in te bouwen en zo de toenemende bedreigingen op het gebied van informatiebeveiliging beter het hoofd te kunnen bieden. Door het vastleggen van de aantoonbare werking van de processen over de komende maanden, wil Lemontree begin 2024 de ISAE3402 type 2 verklaring afgeven. Hierbij wordt naast de opzet en het bestaan ook de effectieve werking van beheersmaatregelen getoetst.
Over ISAE3402
ISAE3402 (of voluit International Standard on Assurance Engagements 3402) is een internationale verklaring die de klant van een organisatie zekerheid biedt dat de serviceorganisatie over adequate interne controles beschikt. Deze verklaring is internationaal erkend door accountants.
Over Lemontree
Lemontree richt zich al 25 jaar op managed services en IT-diensten met een sterke focus op de ambitie van klanten. De organisatie is uitgegroeid tot een IT-beheerorganisatie die zich richt op middelgrote organisaties van enkele honderden tot enkele duizenden werkplekken. De IT-dienstverlener uit Alphen aan den Rijn biedt duidelijke IT-diensten met vijfsterren ondersteuning. Van een IT-Masterplan tot dagelijkse hulp met complete dienstverlening. Klanten hebben behoefte aan kwalitatieve diensten die betaalbaar zijn. Samen met legt Lemontree, in een hechte relatie, de weg af naar een onbezorgde IT-omgeving en een samenwerking op basis van persoonlijke en hartelijke communicatie, respect en vertrouwen. Het resultaat is rust in de organisatie en focus op de bedrijfsprocessen. Lemontree plaatste zich onlangs nog in de top 5 van beste Nederlandse IT-dienstverleners in de ITX Experience monitor. Met een fanscore van 96 en een hoge klantwaardering op zowel klantfocus als competenties scoorde Lemontree hoge ogen in het onafhankelijke onderzoek van Giarte. Ook certificeerde de Alphense Managed Serive Provider zich vorig jaar als ‘Great Place to Work‘.
Over Hoek en Blok
“Hoek en Blok.IT is de IT-audit & assurance dienstverlener van Hoek en Blok. Hun auditors en adviseurs helpen klanten om functioneel het maximale uit IT te halen en hierbij de risico’s op het gebied van IT security, privacy en continuïteit aantoonbaar te beheersen. Meer informatie over de ISAE 3402, SOC 2 IT audit en assurance dienstverlening is te vinden op de website van Hoek en Blok
