NIS2

NIB2: houd je vast voor de nieuwe cybersecurity-richtlijnen

NIB2: houd je vast voor de nieuwe cybersecurity-richtlijnen

Cybersecurity special oktober 2022

NIS2

Cyberaanvallen zorgden in 2021 voor ongeveer 7 miljard dollar aan schade. Laat dat even op je inwerken. Het is dus niet vreemd dat er strengere regels komen om dit soort criminaliteit het hoofd te bieden. Ook op Europees niveau wordt hier hard aan gewerkt. Maar die nieuwe regels zijn niet alleen voor grote bedrijven en ze zijn al evenmin vrijblijvend. Dus houd je vast voor de nieuwe cybersecurity-richtlijnen…

Ook voor het mkb

Met de introductie van nieuwe Europese richtlijnen (NIB2, Engelse term: NIS2) wil de Europese Unie bedrijven dwingen hun cybersecurity op orde te brengen. Doel: voorkomen dat cyberaanvallen in de toekomst de gehele maatschappij of delen ervan kunnen ontwrichten. NIB2 is de opvolger van NIS (Network and Information Systems), de huidige cybersecurity-richtlijn. Die ken je niet? Dat is niet zo vreemd, want die richtlijn geldt alleen voor grote ondernemingen in vitale sectoren. Dat is bij NIB2 wel anders. Deze gaat namelijk voor veel meer sectoren gelden en óók voor het mkb. Als Nederlands bedrijf moet je dus komende tijd serieus bekijken of NIB2 van toepassing is. En als dat zo is, zul je je maatregelen op orde moeten hebben. Zo niet, loop je het risico op een forse boete. Reken op maximaal 2% van de wereldwijde omzet  (tot een maximum van 10 miljoen euro). Dat kost je dus nagenoeg zoveel als een ransomware-aanval.

 

Waarom met cybersecurity aan de slag?

Het voorkomen van een boete ten aanzien van NIB2 toepassing zou niet dé reden moeten zijn om met cybersecurity aan de slag te gaan. Jij als ondernemer wil voor jouw organisatie toch alle zaken goed op orde hebben? Inclusief een professionele en betrouwbare ICT-infrastructuur? Cybersecurity-incidenten zijn aan de orde van de dag. Dat soort incidenten willen we allemaal voorkomen. Het is van belang het aanvalsoppervlak te verkleinen en dat kan alleen door de juiste maatregelen te nemen.

 

Valt jouw bedrijf onder NIB2?

NIB2 is dus serious business. Maar hoe bepaal je of jouw bedrijf eronder valt? Stel jezelf daarvoor de volgende vragen:

 

  1. Vallen je bedrijfsactiviteiten onder ‘essentiële activiteiten’?

Volgens de Europese commissie valt de definitie ‘essentiële activiteiten’ uiteen in acht sleutelsectoren: transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming is ondergeschikt. Zelfs kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partijen krijgen te maken met NIS2.

 

  1. Doe je zaken met toeleveranciers of ketenpartners met essentiële activiteiten?

NIB2 richt zich op de gehele toevoerketen. Dus ook op bedrijven die zelf geen essentiële activiteiten ontplooien maar wel zaken doen met organisaties die onder die noemer vallen. Je zult dus in kaart moet brengen of ketenpartners misschien in deze categorie vallen. Lever je software aan partijen als KPN of PostNL? Doe je zaken met een transporteur die ook medische apparatuur verscheept? Lever je hardware aan een kleine energieleverancier? In al die gevallen moet je voldoen aan NIB2.

 

  1. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid?

Voor NIB2 geldt niet waar je bent gevestigd, maar waar je activiteiten ontplooit. Dat heet ‘extraterritoriale werking’. Bied je dus ergens in de Europese Unie diensten aan die onder essentiële activiteiten vallen, moet je dus voldoen aan de nieuwe richtlijn. Ook wanneer je zaken doet met een niet-Europese partij die essentiële activiteiten uitvoert in de Europese Unie!

 

Dit moet je regelen voor NIB2

Kun je één of meerdere vragen met ‘ja’ beantwoorden? Dan zul je aan de bak moeten. Tenminste, als je jouw beveiliging nog niet op orde hebt. Wat dat voor jouw bedrijf betekent? Bekijk eens de Handreiking Cybersecuritymaatregelen van het Nederlands Cyber Security Centrum (NCSC) of lees dit artikel over ‘hoe voorkom je een cyberaanval?’. Die helpt je zeker verder. Maar ga in ieder geval uit van de volgende basismaatregelen:

  1. Installeer software-updates zodra ze worden aangeboden;
  2. Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert  (loginfo bevat een vastlegging van alle activiteiten die in een netwerk of applicatie plaatsvinden);
  3. Pas multifactorauthenticatie (2FA) toe waar nodig;
  4. Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten. Richt bijvoorbeeld Role Based Access Control (RBAC);
  5. Segmenteer netwerken. Wanneer het bedrijfsnetwerk uit verschillende zones bestaat kan het niet zomaar worden platgelegd;
  6. Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet. Bescherm deze met een firewall, anti-malware en virusscanner;
  7. Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons die  gevoelige bedrijfsinformatie bevatten;
  8. Maak regelmatig back-ups van systemen en test deze ook.

De basismaatregelen dienen aantoonbaar in jouw organisatie aanwezig te zijn. Afhankelijk van de situatie in jouw organisatie dienen mogelijk aanvullende maatregelen genomen te worden.

 

Wacht niet. Act now!

NIB2 betekent dus (misschien) werk aan de winkel. Denk overigens maar niet dat het wel mee zal vallen met die boetes. Maar het aantal boetes sinds de inwerkintreding van de AVG valt toch ook mee? Dat is inderdaad zo. Maar handhaving van de AVG gebeurt op basis van ex post-sanctiebeleid: controle na ernstige verdenking dat een bedrijf niet aan de regels voldoet. NIS2 wordt straks gehandhaafd op basis van ex ante-sanctiebeleid. Dat betekent dat er steekproefsgewijs controles plaatsvinden. Je kunt dus zomaar aan de beurt zijn. Zorg dus dat je systemen op orde zijn. Verdiep je goed in de materie en neem nu alvast je maatregelen – wacht niet tot de nieuwe richtlijnen van kracht worden. En aarzel vooral niet om één van onze cybersecurity-specialisten om raad en advies te vragen. Zij weten hoe je met dit bijltje hakt.

 

Lucas Vousten | +31 (0)40 240 9516 | lvousten@joanknecht.nl

Ties Meesters | +31 (0)40 240 9459 | tmeesters@joanknecht.nl