NIS2: voldoet jouw organisatie al aan de nieuwe richtlijnen?

Cybersecurity special oktober 2023

Wanneer moet je voldoen aan NIS2?

Met de introductie van nieuwe Europese richtlijnen (NIB2, Engelse term: NIS2) wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen. Doel: voorkomen dat cyberaanvallen in de toekomst de gehele maatschappij of delen ervan kunnen ontwrichten. Als bedrijf moet je in control zijn over je cyberrisico’s. NIS2 is nu een formele richtlijn van de EU die door de verschillende landen vertaald moet worden naar nationale wetgeving. De verwachting is dat Nederlandse bedrijven in het najaar van 2024 moeten voldoen aan deze nieuwe wetgeving.

Ook voor het mkb

De huidige NIS cybersecurity richtlijn geldt alleen voor grote ondernemingen in vitale sectoren. Dat is bij NIS2 wel anders. Deze gaat namelijk voor veel meer sectoren gelden en óók voor het mkb. Als mkb-ondernemer moet je de komende tijd dus serieus bekijken of NIS2 ook voor jou van toepassing is. Is dat zo? Dan moet je je maatregelen op orde hebben. Laat de cybersecurity-specialisten van Joanknecht je hierbij helpen. Het niet naleven van NIS2 maakt je niet alleen kwetsbaar voor cyberaanvallen, je kunt óók fors beboet worden. En deze sancties zijn niet mals. Reken op maximaal 2% van de wereldwijde omzet (en niet meer dan 10 miljoen euro). Dat kost je dus nagenoeg zoveel als een ransomware-aanval.

Waarom moet je met cybersecurity aan de slag?

Cybersecurity is essentieel voor elk bedrijf. En er zitten nog veel meer voordelen aan het juist inrichten van je cyberveiligheid. Denk bijvoorbeeld aan:

• Bescherming van je bedrijfsgegevens- en systemen
• Verminderde kans op een datalek
• Het behoud van de reputatie van je bedrijf
• En natuurlijk behoud van je klanten 😉!

Vergis je niet. Cybersecurity-incidenten zijn aan de orde van de dag. Dat soort incidenten willen we allemaal voorkomen. Het is van belang het aanvalsoppervlak te verkleinen en dat kan alleen door de juiste maatregelen te nemen.

Valt jouw bedrijf onder NIS2? Onderneem dan actie!

NIS2 verplicht je om aan strengere cybersecurity-maatregelen te voldoen. Dit is serious business, want een cyberaanval kan grote gevolgen hebben voor je bedrijf. Benieuwd of jouw bedrijf onder NIS2 valt? Stel jezelf de volgende vragen:

1. Vallen je bedrijfsactiviteiten onder ‘essentiële activiteiten’?
   Volgens de Europese commissie valt de definitie ‘essentiële activiteiten’ uiteen in acht sleutelsectoren: transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming is ondergeschikt. Zelfs kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partijen krijgen te maken met NIS2. De Nederlandse wetgever komt later dit jaar met een definitie van sectoren die vallen onder de NIS2.
2. Doe je zaken met toeleveranciers of ketenpartners met essentiële activiteiten?
   NIS2 richt zich op de gehele toevoerketen. Dus ook op bedrijven die zelf geen essentiële activiteiten ontplooien maar wel zaken doen met organisaties die onder die noemer vallen. Je zult dus in kaart moet brengen of ketenpartners misschien in deze categorie vallen. Lever je software aan partijen als KPN of PostNL? Doe je zaken met een transporteur die ook medische apparatuur verscheept? Lever je hardware aan een kleine energieleverancier? In al die gevallen moet je voldoen aan NIS2.
3. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid?
   Voor NIS2 geldt niet waar je bent gevestigd, maar waar je activiteiten ontplooit. Dat heet ‘extraterritoriale werking’. Bied je dus ergens in de Europese Unie diensten aan die onder essentiële activiteiten vallen, moet je dus voldoen aan de nieuwe richtlijn. Ook wanneer je zaken doet met een niet-Europese partij die essentiële activiteiten uitvoert in de Europese Unie!

Je kunt ook de zelf-evaluatie van Rijksoverheid doen om erachter te komen of de NIS2-richtlijn voor jou van toepassing is.

Dit moet je regelen voor NIS2

Kun je één of meerdere vragen met ‘ja’ beantwoorden? Dan zul je aan de bak moeten. Tenminste, als je jouw beveiliging nog niet op orde hebt. Wat dat voor jouw bedrijf betekent? Lees dit artikel over ‘hoe voorkom je een cyberaanval?’. Die helpt je zeker verder. Maar ga in ieder geval uit van de volgende basismaatregelen:

1. Voer een gedegen IT risk assessment uit en koppel maatregelen aan risico’s.
2. Installeer software-updates zodra ze worden aangeboden;
3. Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert (loginfo bevat een vastlegging van alle activiteiten die in een netwerk of applicatie plaatsvinden);
4. Pas multifactorauthenticatie (2FA) toe waar nodig;
5. Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten. Richt bijvoorbeeld Role Based Access Control (RBAC);
6. Segmenteer netwerken. Wanneer het bedrijfsnetwerk uit verschillende zones bestaat kan het niet zomaar worden platgelegd;
7. Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet. Bescherm deze met een firewall, anti-malware en virusscanner;
8. Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons die gevoelige bedrijfsinformatie bevatten;
9. Maak regelmatig back-ups van systemen en test deze ook.

De basismaatregelen dienen aantoonbaar in jouw organisatie aanwezig te zijn. Afhankelijk van de situatie in jouw organisatie dienen mogelijk aanvullende maatregelen genomen te worden.

Hoe kan Joanknecht je helpen om compliant te zijn aan NIS2?

NIS2 betekent dus (misschien) werk aan de winkel. Voer een gedegen risicoanalyse uit en organiseer bijbehorende risicomanagement procedures. Het gaat erom dat je kan reageren op incidenten. En dat het incidentresponseplan ook daadwerkelijk getest wordt door de betrokkenen. Bij Joanknecht hebben we ervaren cybersecurity-specialisten in huis die je helpen om compliant te zijn aan NIS2. Laat ons je helpen met:

• Het bepalen of jouw bedrijf onder NIS2 valt.
• Het uitvoeren van een risico inventarisatie (en inrichten riskmanagement).
• Het opstellen van een cybersecurityplan dat voldoet aan de NIS2-eisen.
• De implementatie van de nodige cybersecuritymaatregelen.
• Het monitoren van de effectiviteit van de cybersecuritymaatregelen.
• Identificeren van alternatieve toeleveringsketens.
• Het trainen van je medewerkers in cybersecurity awareness.

Wij werken nauw samen met je om een cybersecurityplan te ontwikkelen dat is afgestemd op jouw specifieke behoeften. We helpen je ook bij de implementatie van de nodige cybersecuritymaatregelen en het monitoren van de effectiviteit van deze maatregelen.

Handhaving van NIS2: je kunt zomaar aan de beurt zijn

Denk overigens niet dat het wel mee zal vallen met die boetes. Maar het aantal boetes sinds de inwerkintreding van de AVG valt toch ook mee? Dat is inderdaad zo. Maar handhaving van de AVG gebeurt op basis van ex post-sanctiebeleid: controle na ernstige verdenking dat een bedrijf niet aan de regels voldoet. NIS2 wordt straks gehandhaafd op basis van ex ante-sanctiebeleid. Dat betekent dat er steekproefsgewijs controles plaatsvinden. Je kunt dus zomaar aan de beurt zijn.

Neem contact op met onze cybersecurity-specialisten

Zorg dus dat je systemen op orde zijn. Verdiep je goed in de materie en neem nu alvast je maatregelen – wacht niet tot de nieuwe richtlijnen van kracht worden. En aarzel vooral niet om één van onze cybersecurity-specialisten om raad en advies te vragen. Zij weten hoe je met dit bijltje hakt.

Lucas Vousten | +31 (0)40 240 9516 | lvousten@joanknecht.nl

Ties Meesters | +31 (0)40 240 9459 | tmeesters@joanknecht.nl