Dit is alles wat je moet weten over NIS2 voor jouw bedrijf

Cybersecurity special oktober 2024

Wat is de NIS2-richtlijn?

Vanaf 14 december 2022 is de nieuwe Europese cyberrichtlijn NIS2 van kracht, die bedoeld is om de cyberbeveiliging en de weerbaarheid van essentiële diensten in de Europese Unie te verbeteren. Enerzijds door de digitale weerbaarheid te verhogen en anderzijds door de consequenties van cyberincidenten te verlagen.

De NIS2-richtlijn (Network and Information Systems Security Directive) is de opvolger van de eerste NIS-richtlijn. Waar de eerste richtlijn alleen gericht was op grote ondernemingen in vitale sectoren, wordt de reikwijdte met de komst van de NIS2-richtlijn flink uitgebreid. Daarnaast stelt de nieuwe NIS2-richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. Ook wordt er meer toezicht verwacht op de naleving van de nieuwe richtlijn, kan het niet naleven van de richtlijn leiden tot hoge boetes en kun jij als bestuurder persoonlijk aansprakelijk worden gesteld.

Wanneer treedt NIS2 in werking?

Op dit moment wordt de NIS2-richtlijn omgezet in Nederlandse wetgeving. De deadline hiervoor is oktober 2024, maar deze deadline wordt naar verwachting niet gehaald. De verwachting is dat de Cyberbeveiligingswet in het tweede of derde kwartaal van 2025 in werking treedt, waarmee de gestelde deadline fors wordt overschreden. Momenteel loopt de consultatieperiode en kun je tot 1 juli 2024 suggesties doen voor de verbetering van de wet- en regelgeving over de omzetting van NIS2 naar nationale wetgeving. Na afloop van de consultatieperiode worden alle reacties bekeken en past men eventueel het wetsvoorstel aan.

Valt jouw organisatie onder NIS2?

Door de uitbreiding van de reikwijdte gaat de richtlijn voor veel meer organisaties gelden, waaronder veel mkb-ondernemingen. NIS2 heeft namelijk effect op de gehele keten. Dus ook als je toeleverancier bent van een organisatie die als essentieel of belangrijk wordt aangemerkt, moet je voldoen aan de NIS2-richtlijn. Vooral door deze ketenwerking gaat nagenoeg iedere organisatie hier wel iets van merken.

Als je dit nog niet hebt gedaan, moet je als mkb-ondernemer de komende tijd dus serieus bekijken of NIS2 ook voor jou van toepassing is. Om erachter te komen of jouw organisatie onder NIS2 valt, kun je jezelf de volgende vragen stellen:

1. Vallen je bedrijfsactiviteiten onder ‘essentiële activiteiten’?
   Volgens de Europese commissie valt de definitie ‘essentiële activiteiten’ uiteen in acht sleutelsectoren: transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming is ondergeschikt. Zelfs kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partijen krijgen te maken met NIS2. De Nederlandse wetgever komt later dit jaar met een definitie van sectoren die vallen onder de NIS2.
2. Doe je zaken met toeleveranciers of ketenpartners met essentiële activiteiten?
   NIS2 richt zich op de gehele toevoerketen. Dus ook op bedrijven die zelf geen essentiële activiteiten ontplooien maar wel zaken doen met organisaties die onder die noemer vallen. Je zult dus in kaart moet brengen of ketenpartners misschien in deze categorie vallen. Lever je software aan partijen als KPN of PostNL? Doe je zaken met een transporteur die ook medische apparatuur verscheept? Lever je hardware aan een kleine energieleverancier? In al die gevallen moet je voldoen aan NIS2.
3. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid?
   Voor NIS2 geldt niet waar je bent gevestigd, maar waar je activiteiten ontplooit. Dat heet ‘extraterritoriale werking’. Bied je dus ergens in de Europese Unie diensten aan die onder essentiële activiteiten vallen, moet je dus voldoen aan de nieuwe richtlijn. Ook wanneer je zaken doet met een niet-Europese partij die essentiële activiteiten uitvoert in de Europese Unie!

Doe de zelfevaluatie

Je kunt ook de zelfevaluatie van de Rijksoverheid doen om te achterhalen of de NIS2-richtlijn op jou van toepassing is. Voor alle organisaties die zijn aangewezen als ‘essentieel’ of ‘belangrijk’, geldt de registratieplicht. Hiervoor moet onderstaand schema worden gevolgd:

Is jouw onderneming klaar voor NIS2? Neem actie!

Valt jouw onderneming onder NIS2? Dan moet je jouw maatregelen op orde hebben en is het tijd voor actie! Hoewel de Nederlandse wetgeving met betrekking tot NIS2 nog niet gereed is, wordt sterk aanbevolen om alvast de nodige voorbereidingen te treffen.

Om organisaties te helpen, heeft de Rijksoverheid een Quickscan beschikbaar gesteld, gebaseerd op de Europese NIS2-richtlijn. Deze Quickscan bestaat uit 40 vragen over de beveiliging van jouw netwerk- en informatiesystemen, met als doel inzicht te krijgen in de staat van de cyberbeveiliging van jouw organisatie. Een ingevulde Quickscan levert scores op met bijbehorende aanbevelingen en actiepunten om jouw organisatie te helpen stappen te zetten richting naleving van de nieuwe NIS2-richtlijn.

CyberFundamentals Framework: Concrete handvatten voor cybersecurity

Onze zuiderburen zijn al een stuk verder in het bieden van concrete handvatten aan organisaties. Het Centrum voor Cybersecurity België (CCB) heeft namelijk het Cyberfundamentals Framework uitgebracht met als doel organisaties te helpen begrijpen en implementeren van de basisprincipes van cybersecurity. Dit helpt hen hun digitale gegevens te beschermen tegen cyberdreigingen en te voldoen aan de NIS2-richtlijn.

Het CyberFundamentals Framework onderscheidt drie beveiligingsniveaus: Basis, Belangrijk en Essentieel. Binnen deze niveaus worden algemene maatregelen aangeboden die van toepassing zijn op alle soorten organisaties. Het idee is dat organisaties eerst de kernmaatregelen implementeren die overeenkomen met hun beveiligingsniveau, voordat ze andere maatregelen overwegen. Voor elk beveiligingsniveau is een lijst met concrete kernmaatregelen beschikbaar gesteld, zodat je direct actief aan de slag kunt!

De essentie van cybersecurity

Cybersecurity is essentieel voor elk bedrijf. Buiten de al genoemde redenen, betreffende NIS2, om met cybersecurity aan de slag te gaan, zitten nog veel meer voordelen aan het juist inrichten van je cyberveiligheid. Denk bijvoorbeeld aan:

• Bescherming van je bedrijfsgegevens- en systemen
• Verminderde kans op een datalek
• Het behoud van de reputatie van je bedrijf
• En natuurlijk behoud van je klanten 😉!

Vergis je niet. Cybersecurity-incidenten zijn aan de orde van de dag. Dat soort incidenten willen we allemaal voorkomen. Het is van belang het aanvalsoppervlak te verkleinen en dat kan alleen door de juiste maatregelen te nemen.

Hulp nodig?

Bij Joanknecht hebben we ervaren cybersecurity-specialisten in huis die je kunnen helpen om compliant te zijn aan NIS2. Ze bieden ondersteuning bij:

• Het vaststellen of jouw bedrijf onder NIS2 valt
• Het verkrijgen van inzicht in de huidige stand van jouw cyberbeveiliging
• Het uitvoeren van een risico-inventarisatie en het opzetten van riskmanagement
• Het opstellen van een cybersecurityplan dat voldoet aan de NIS2-eisen
• De implementatie van de benodigde cybersecuritymaatregelen
• Het monitoren van de effectiviteit van de cybersecuritymaatregelen
• Het identificeren van alternatieve toeleveringsketens
• Het trainen van jouw medewerkers in cybersecurity awareness

Ons advies is om niet langer te wachten tot de richtlijn van kracht wordt, maar direct actie te ondernemen. Laat je hierover verder informeren door een van onze cybersecurity-specialisten!

Lucas Vousten | +31 (0)40 240 9516 | lvousten@joanknecht.nl

Ties Meesters | +31 (0)40 240 9459 | tmeesters@joanknecht.nl