Cybersecurity is al een tijdje geen onderwerp meer dat je kunt parkeren met “dat regelen we later wel”. Met de komst van de NIS2-richtlijn maakt de overheid dat nu ook officieel. Veel bedrijven weten nog niet dat ze mogelijk onder deze nieuwe wetgeving vallen. In dit artikel leggen we uit wat NIS2 inhoudt, voor wie het geldt en wat u concreet moet doen.
Wat is NIS2?
NIS2 staat voor Network and Information Security Directive 2. Het is een Europese richtlijn die de cybersecurity van bedrijven en organisaties in de EU moet versterken. De richtlijn is de opvolger van NIS1 en heeft een veel bredere reikwijdte. Waar de eerste versie vooral grote organisaties en vitale sectoren raakte, treft NIS2 nu ook middelgrote bedrijven in veel meer sectoren.
In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet. Bedrijven die onder de wet vallen, zijn verplicht om aantoonbaar werk te maken van hun digitale beveiliging.
Voor wie geldt NIS2?
NIS2 maakt onderscheid tussen twee categorieën: essentiële entiteiten en belangrijke entiteiten. Of uw bedrijf eronder valt, hangt af van twee dingen: de sector waarin u actief bent en de omvang van uw organisatie.
U valt mogelijk onder NIS2 als uw bedrijf meer dan 50 medewerkers heeft of een jaaromzet boven de 10 miljoen euro, én actief is in een van de aangewezen sectoren. Denk aan energie, transport, zorg, digitale infrastructuur, productiebedrijven, afvalbeheer en financiële diensten.
Maar let op: ook als uw bedrijf zelf niet direct onder NIS2 valt, kunt u er toch mee te maken krijgen. Grotere opdrachtgevers die wél onder de wet vallen, zijn namelijk verplicht om eisen te stellen aan hun toeleveranciers en partners. Dat betekent dat de wet via de keten ook kleine bedrijven raakt.
Wat zijn de verplichtingen?
Bedrijven die onder NIS2 vallen, moeten aan een aantal concrete eisen voldoen:
Risicobeheer. U bent verplicht om risico’s voor uw digitale systemen in kaart te brengen en daar passende maatregelen tegen te nemen. Denk aan firewalls, antivirussoftware, sterke wachtwoorden en tweefactorauthenticatie.
Incidentmeldplicht. Als er een cyberincident plaatsvindt dat uw dienstverlening verstoort, moet u dit binnen 24 uur melden bij de bevoegde autoriteit. Binnen 72 uur volgt een uitgebreidere melding.
Beveiliging van de toeleveringsketen. U bent mede verantwoordelijk voor de beveiliging van uw leveranciers en partners. Heeft een leverancier een zwakke beveiliging? Dan is dat ook uw risico.
Verantwoordelijkheid van het bestuur. De directie of het bestuur van een organisatie is persoonlijk verantwoordelijk voor de naleving van NIS2. Dat is een belangrijk verschil met vroeger, toen cybersecurity vaak volledig bij de IT-afdeling werd belegd.
Wat zijn de gevolgen als u niet voldoet?
De sancties zijn serieus. Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Voor belangrijke entiteiten geldt een maximum van 7 miljoen euro of 1,4 procent van de omzet. Naast financiële sancties kan de toezichthouder ook operationele maatregelen opleggen.
Wat kunt u nu al doen?
U hoeft niet te wachten tot er een boete dreigt. Een paar concrete stappen om vandaag mee te beginnen:
Breng in kaart welke systemen en data kritisch zijn voor uw bedrijf. Controleer of uw medewerkers tweefactorauthenticatie gebruiken voor zakelijke accounts. Zorg dat software en systemen up-to-date zijn. Leg vast wie verantwoordelijk is voor digitale veiligheid binnen uw organisatie. Vraag uw IT-partner om een risicoanalyse.
Weet u niet waar u moet beginnen?
Veel mkb-bedrijven hebben geen fulltime IT-afdeling en weten niet precies waar ze staan als het gaat om cybersecurity. Hekkelman I.T. helpt bedrijven in de regio Arnhem met een praktische aanpak: geen ingewikkeld jargon, wel concrete stappen die aansluiten op uw situatie.
Neem gerust contact op voor een vrijblijvend gesprek. We kijken samen naar uw huidige beveiliging en wat er nodig is om klaar te zijn voor NIS2.
Telefoon: +31 (0)26 711 5067 E-mail: [email protected]