Registratieplicht

Onder de NIS2-richtlijn vallen entiteiten die bij uitval van diensten zorgen voor een ontwrichtende impact op de economie en de samenleving. Hierbij wordt een onderscheid gemaakt tussen ‘essentiële’ en ‘belangrijke’ entiteiten. Voor alle entiteiten die aangewezen zijn als essentieel of belangrijk geldt de registratieplicht. Doorloop onderstaande flowchart om te achterhalen of dit voor jou geldt, of doe de NIS2-zelfevaluatie van de RDI. 

Vergroot afbeelding

Essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Met dit register vergroot de Europese Unie zicht op de digitale weerbaarheid van belangrijke en essentiële diensten en organisaties. Bovendien kan het NCSC op basis van de gegevens gericht producten en diensten aanbieden om de weerbaarheid van jouw organistie te vergroten. Ook zijn we in staat om in het geval van incidenten gemakkelijk contact op te nemen.

De registratie van essentiële en belangrijke entiteiten vindt in Nederland plaats bij het Nationaal Cyber Security Centrum (NCSC). Je kunt via eHerkenning of Single Sign On Rijk inloggen op mijn.ncsc.nl. 

De registratieplicht geldt vanaf de inwerkingtreding van de Cyberbeveiliginswet (Cbw). Dit is naar verwachting medio 2025. Vanaf 17 oktober 2024 is het reeds mogelijk om jouw organisatie vrijwillig te registeren. Ga hiervoor naar mijn.ncsc.nl. 

Wij adviseren de registratie te voltooien door:

• Iemand met inhoudelijke kennis op cybersecurity, zoals: CISO, security expert of anders IT-gerelateerd.
• Iemand met hoge beslissingsbevoegdheid, zoals een CEO, eigenaar of iemand van compliance.

De richtlijn voorziet er niet in dat organisaties zich in één keer voor alle EU-lidstaten waar zij actief zijn kunnen registeren. Voor de meeste organisaties geldt dat zij in elk land waar zij zijn gevestigd en hun diensten verlenen onder de wetgeving van dat land vallen (er zijn uitzonderingen, e.g. partijen die digitale dienstverleners zijn, kunnen gevestigd zijn in Nederland, maar onder de wetgeving van een andere lidstaat vallen). Ook zal een significant incident in iedere EU-lidstaat gemeld moeten worden. Is een organisatie dus bijvoorbeeld zowel in Nederland als in België gevestigd en van daaruit actief, dan geldt de Nederlandse wetgeving voor de vestiging in Nederland én de Belgische wetgeving voor die andere vestiging.

Wel zullen de toezichthoudende instanties onderling afspraken maken om onder meer onevenredig veel toezicht door de verschillende inspectiediensten te voorkomen. Het uitgangspunt is dat de meldplicht op zo’n manier wordt ingericht dat het zo min mogelijk tijd kost. Er wordt naar gestreefd het meldportaal technisch zó in te richten, dat het doen van de melding van een significant incident in Nederland maar één handeling vergt.

Jouw gegevens worden optimaal beschermd om ongeautoriseerde toegang te voorkomen. Wij nemen uitgebreide maatregelen om ervoor te zorgen dat informatie veilig, verantwoord en overeenstemming met de wet wordt verwerkt.

Veilige en versleutelde opslag
Alle aangeleverde gegevens worden als vertrouwelijk behandeld en veilig opgeslagen. Dit betekent dat gegevens niet leesbaar zijn voor onbevoegden, zowel tijdens de opslag als bij verzending. Hiervoor maken wij gebruik van versleuteling, een techniek die informatie beschermt tegen toegang door derden.

Back-ups en geavanceerde netwerkbescherming
Daarnaast maken wij regelmatig back-ups die veilig worden opgeslagen. Dit zorgt ervoor dat gegevens hersteld kunnen worden bij een technische storing, menselijke fout of cyberaanval. Onze systemen worden verder beveiligd met geavanceerde netwerkbescherming, zoals firewalls en systemen die verdachte activiteiten detecteren en blokkeren.

Toegang tot gegevens
Alleen medewerkers die de gegevens nodig hebben voor hun werk, krijgen toegang. Deze toegang is strikt gereguleerd en beperkt tot wat noodzakelijk is voor hun functie. Om te voorkomen dat toegang onnodig blijft bestaan, worden rechten regelmatig gecontroleerd en aangepast. Wij houden ook een logboek bij van wie toegang heeft gehad tot de gegevens en controleren deze logs om misbruik te voorkomen. 

Beveiligingstests 
Om ervoor te zorgen dat jouw gegevens altijd beschermd blijven, voeren wij regelmatig beveiligingstests uit. Dit omvat onder andere het simuleren van cyberaanvallen en het opsporen van kwetsbaarheden in onze systemen. Dankzij deze tests kunnen we beveiligingsproblemen vroegtijdig signaleren en oplossen, zodat jouw gegevens veilig blijven.

Bewaartermijn
Wij bewaren jouw gegevens alleen zolang als nodig is om te voldoen aan wettelijke verplichtingen of voor beveiligingsdoeleinden. Zo worden gegevens die nodig zijn voor een melding volgens de NIS2-richtlijn worden bewaard zolang de wet dit vereist. De exacte bewaartermijnen worden vastgesteld in de aankomende Cyberbeveiligingswet (Cbw). Totdat deze wetgeving van kracht is, volgen wij de regels van de Algemene Verordening Gegevensbescherming (AVG), die stelt dat gegevens niet langer worden bewaard dan noodzakelijk.

Samengevat: het proces rondom informatiebeveiliging
Ontvangst van gegevens: direct na aanlevering woren de gegevens versleuteld. 
Gebruik voor wettelijke doeleinden: gegevens worden gebruikt en bewaard zolang dit verplicht is. 
Verwijdering van gegevens: na afloop van de bewaartermijn worden de gegevens veilig verwijderd. 

Met deze maatregelen zorgt het Nationaal Cyber Security Centrum ervoor dat jouw gegevens veilig, verantwoord en in overeenstemming met de wetgeving worden behandeld.