Geen organisatie lijkt nog veilig te zijn voor cybercriminelen. Cyberaanvallen nemen toe en worden ook steeds geavanceerder. De (Europese) overheid voelt zich genoodzaakt om meer integrale maatregelen te nemen. Alle bedrijven, ook mkb-bedrijven, die ‘essentiële diensten’ leveren, moeten in 2024 voldoen aan de nieuwe cyber security richtlijnen. Wat houdt NIS2 in, en wat betekent dit voor jou als MKB-ondernemer? Je leest het hier.
Wat is NIS2?
NIS is de afkorting voor Network & Information Systems. In het Nederlands wordt dit ook wel de NIB-richtlijn genoemd. NIB staat in dit geval voor richtlijn Netwerk en Informatiebeveiliging. Het doel van de NIS is om binnen de EU het cyberweerbaarheidsniveau te verhogen.
Waarom NIS2?
Op dit moment werken we in Europa met de NIS (netwerk- en informatiesystemen) richtlijn voor essentiële bedrijven zoals water- en telecombedrijven. Cybercriminelen bedenken echter razendsnel nieuwe aanvallen, waardoor NIS1 alweer achterhaald is. Dus komt de EU met een nieuwe versie: NIS2. De NIS2 richtlijn heeft tot doel de digitale veiligheid van kritieke infrastructuren en dienstverleners te verhogen. Denk aan bedrijven in sectoren als de gezondheidszorg, de energiesector en financiële instellingen. De richtlijn vereist dat deze organisaties passende maatregelen nemen om hun digitale beveiliging te waarborgen.
Voor wie geldt NIS2?
Er gaan zeker tien keer zo veel bedrijven onder NIS2 vallen dan onder de huidige richtlijn. Dat komt omdat er meer bedrijven worden aangemerkt als essentieel of belangrijk, maar ook omdat er gekeken moet worden naar de volledige supply chain. Hierdoor bestaat er een grote kans dat ook jouw bedrijf aan deze wetgeving moet gaan voldoen. In principe geldt de volgende stelregel: alle organisaties binnen een essentiële sector met een grootte van meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro wordt als essentiële aanbieder gedefinieerd.
Essentiële en belangrijke entiteiten
| Sector | Belangrijk / Essentieel |
|---|---|
| Energie – levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/koeling, waterstof, exploitanten van EV-oplaadpunten | Essentieel |
| Transport via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten) | Essentieel |
| Bankieren/financiën – krediet, handel, markt en infrastructuur | Essentieel |
| Gezondheid – zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen | Essentieel |
| Water – drinkwaterleveranciers en afvalwaterbeheerders | Essentieel |
| Digitale infrastructuur en IT-diensten – DNS, naamregisters, vertrouwensdiensten, datacenters, cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten | Essentieel |
| Openbaar bestuur – (centraal, regio’s + lokaal optioneel) | Essentieel |
| Space – exploitanten van infrastructuur op de grond | Essentieel |
| Post- en koeriersdiensten aanbieders | Belangrijk |
| Afvalbeheer | Belangrijk |
| Chemische producten – productie en distributie | Belangrijk |
| Voedsel – distributie en productie | Belangrijk |
| Fabrikanten – medische/diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen | Belangrijk |
| Digitale aanbieders – online marktplaatsen, zoekmachines, sociale platforms | Belangrijk |
| Onderzoeksorganisaties | Belangrijk |
Ik ben een MKB en verleen geen essentiële dienst. Geldt de NIS2 ook voor mij?
Hoewel de NIS2 richtlijn in eerste instantie gericht is op kritieke infrastructuren en digitale dienstverleners, geldt deze ook voor MKB-ondernemers die onderdeel uitmaken van de supply chain van deze sectoren. Dit betekent dat ook zij moeten voldoen aan de vereisten van de richtlijn. Voldoen zij hier niet aan? Dan kunnen zij aansprakelijk gesteld worden voor eventuele schade als gevolg van digitale aanvallen.
Welke maatregelen moet ik nemen?
Dit kan variëren afhankelijk van de specifieke sector en organisatie. Over het algemeen vereist de NIS2 dat organisaties passende maatregelen nemen om hun digitale veiligheid te waarborgen, zoals het implementeren van beveiligingsmaatregelen, het uitvoeren van risicobeoordelingen en het opstellen van incidentresponseplannen. De noodzakelijke maatregelen worden explicieter, het toezicht hierop wordt verscherpt en de boetes bij non-compliance stijgen substantieel. Daarnaast wordt het verplicht om verder te kijken dan alleen de eigen securityrisico’s. Je dient óók de risico’s in de relaties met leveranciers in overweging te nemen.
Gevolgen van het niet naleven van de richtlijn
Het niet naleven van de NIS2 richtlijn kan leiden tot verschillende gevolgen;
- boetes kunnen oplopen tot in de miljoenen euro’s.
- het kan leiden tot reputatieschade, omdat klanten hun vertrouwen verliezen in een bedrijf dat niet goed omgaat met hun persoonlijke gegevens.
- het kan leiden tot bedrijfsonderbrekingen en verlies van inkomsten.
Verder geldt er persoonlijke strafrechtelijke aansprakelijkheid voor personen op directieniveau. Belangrijke entiteiten kunnen toezicht, verplichte audits en mogelijke ontheffing uit bestuurlijke functies verwachten als regels binnen een organisatie niet worden nageleefd.
Staat NIS2 al voor de deur?
De NIS2 is op 27 december 2022 gepubliceerd en ingegaan op 16 januari 2023. Alle Europese landen hebben tot 17 oktober 2024 om de richtlijn in nationale wet- en regelgeving te implementeren. Maar waarom zou je hierop wachten? Cybercriminelen begeven zich 24/7 in de virtuele wereld om grote én kleinere bedrijven in uiteenlopende sectoren te vinden waarop ze hun pijlen kunnen richten. Bepaal óf jij te maken krijgt met de richtlijn en — nog belangrijker — doe een assessment van je digitale weerbaarheid. Op basis van de uitkomst kun je nu al passende maatregelen treffen.
Tips voor een goede naleving van NIS2
Ben jij mkb-ondernemer? Dan kun je ook te maken krijgen met NIS2. Wat kun je nu alvast doen op je voor te bereiden? Een belangrijke eerste stap is het inventariseren en analyseren van risico’s. Risico’s beheers je door te kijken naar de interne en externe factoren van de hele organisatie. Zet een eerste stap en maak een risicoanalyse. Een risicoanalyse is onderdeel van cyber incident respons en helpt je in kaart te brengen hoe jij omgaat met risico’s binnen je organisatie. Het cyber incident response plan is daarnaast een belangrijke maatregel om te voldoen aan de nieuwe cybersecurity richtlijn.
