De NIS2-directive is een Europese richtlijn om de cybersecurity in heel Europa te verbeteren. Dat betekent dat mkb-bedrijven hun cybersecurity binnen afzienbare tijd op orde moeten hebben. Wat houdt NIS2 in, voor wie geldt de richtlijn en wat kun je als bedrijf doen om te zorgen dat je klanten veilig zijn?
In de afgelopen jaren is het aantal cyberaanvallen op bedrijven en organisaties explosief toegenomen. Met de toenemende afhankelijkheid van de digitale infrastructuur voor vitale dienstverlening is duidelijk dat cybersecurity geen optie meer is, maar een absolute vereiste om een bedrijf of organisatie goed te kunnen leiden. Daarom heeft het Europees Parlement de NIS2-richtlijn bepaald. Dit initiatief is bedoeld om Europa voor te bereiden op de digitale toekomst en om een hoog beveiligingsniveau van netwerk- en informatiesystemen in de hele EU te waarborgen
Wat is de NIS2-richtlijn?
De NIS2-richtlijn is de tweede generatie van de Network and Information Systems-richtlijn. Het heeft als doel het beveiligingsniveau van netwerk- en informatiesystemen in de hele EU te verhogen. In 2016 werd de eerste versie van NIS uitgebracht, deze was vooral gericht op grote bedrijven en organisaties die een essentiële dienstverlening aan de samenleving bieden, bijvoorbeeld bedrijven die zich bezighouden met het leveren van stroom, netwerken en water. Zij moeten al enkele jaren maatregelen nemen om hun informatie te beveiligen en hun cyberweerbaarheid te optimaliseren.
Met NIS2 wordt de richtlijn uitgebreid naar veel meer sectoren. Niet alleen nutsbedrijven met een onmisbare maatschappelijke rol zijn verplicht om aan bepaalde eisen in cybersecurity te voldoen, maar ook banken, zorginstellingen, transportbedrijven en fabrikanten van belangrijke huishoudelijke producten. Wel zijn kleinere bedrijven vrijgesteld van de NIS2, zolang ze minder dan 10 miljoen euro per jaar omzetten én minder dan vijftig medewerkers hebben. Gelukkig hebben organisaties nog even de tijd om zich voor te bereiden voordat de NIS2-richtlijn in Nederland van kracht gaat.
De NIS2-richtlijn is opgebouwd uit twee belangrijke pijlers:
Zorgplicht:
De zorgplicht houdt in dat organisaties verplicht zijn om hun gehele infrastructuur op een veilig niveau te houden. Dit betekent dat ze bijvoorbeeld verplicht zijn om te monitoren wat er in hun netwerk gebeurt.
Meldplicht:
Mocht er zich een cyberincident voordoen stelt de meldplicht bedrijven verplicht om het incident te melden. Dit was voorheen alleen nodig bij een datalek, maar nu geldt het ook voor andere incidenten zoals een ransomware-aanval of misbruik van kwetsbaarheden. Door deze meldplicht kunnen bedrijven van elkaar leren hoe zij hun beveiliging beter kunnen optimaliseren.
Consequenties bij overtreding van NIS2-richtlijn.
De consequenties zijn vergelijkbaar met die van de al ingevoerde AVG-richtlijn. (Algemene verordening gegevensbescherming). Als je organisatie niet voldoet aan de nieuwe NIS2-richtlijn kan je een boete krijgen van maximaal 10 miljoen euro of 2% van je totale wereldwijde jaaromzet. Ook worden aansprakelijke personen met een relevante rol en/of autoriteit op het gebied van cybersecurity persoonlijk verantwoordelijk gehouden.
Hoe is het gesteld met jouw cybersecurity?
Veel organisaties zullen aan de bak moeten om hun cybersecurity tot een volwassen niveau te brengen. De precieze grens waarbij je door wetgeving gedwongen wordt te voldoen aan NIS2 is nog niet helemaal duidelijk, de Nederlandse overheid moet nog besluiten aan welke eisen een bedrijf precies moet voldoen. Toch kunnen we ervan uitgaan dat deze verplichting steeds verder door zal sijpelen richting de kleinere bedrijven, gedwongen door overheid, of geëist door klanten in de keten.
Het is verstandig om nu al in kaart te brengen hoe volwassen de cybersecurity van jouw organisatie is. Hierdoor krijg je inzicht in waar eventuele risico’s zich bevinden en hoe je jouw organisatie hier tegen kan beschermen. Stel bijvoorbeeld deze vragen:
- Bestaat er een informatiebeveiligingsbeleid?
- Wat is het niveau van Security Awareness? Dus: zijn medewerkers op de hoogte van mogelijke risico’s en weten ze bijvoorbeeld hoe ze phishingmails kunnen herkennen?
- Worden beveiligingsmaatregelen zoals multifactor-authenticatie consequent toegepast?
- Hoe goed is het Identity and Access Management (IAM) geregeld?
- Is er een Bedrijfs Continuiteits Plan (Bedrijfs Continuiteits Plan, Calamiteiten- en Herstelplan) opgesteld?
Wanneer gaat de NIS2-richtlijn in?
De Europese richtlijn moet door alle EU-lidstaten worden omgezet naar lokale wetgeving. In Nederland zal de overheid hier nog de nodige tijd voor nodig hebben. De Nederlandse term voor deze richtlijn is NIB2 (Netwerk- en Informatiebeveiliging). De verwachting is dat de Nederlandse NIB2 in het najaar van 2024 vastligt en vanaf 1 januari 2025 nageleefd moet worden.
Mocht je nog vragen hebben over de NIS2 neem dan contact op met onze cybersecurity experts en vraag een security assessment aan voor jouw bedrijf!