De NIS2 Richtlijn

De voorganger van de NIS2 Richtlijn had het vooral over essentiële infrastructuur. Denk aan energiebedrijven, overheden en strategisch onmisbare bedrijven. Daarnaast konden bedrijven ook door hun omvang onder de regels van NIS vallen.

De tijd heeft niet stil gestaan. Ook wij zien dat kleinere organisaties vaker aangevallen worden. Tot voor kort werden grotere bedrijven vooral aangevallen door hackers. Logisch. Daar is immers met 1 geslaagde poging tot indringing een hoop te halen.

Dat waren dure lessen voor deze bedrijven en ze hebben ervan geleerd door hun IT-systemen en OT beter te beveiligen. Gevolg is dat de focus van hackers is verschoven naar middelgrote en kleinere bedrijven.

Er is nog andere reden voor de grotere reikwijdte van NIS2. Bedenk maar eens wat er gebeurt als jij je zaken wel goed voor elkaar hebt, maar je toeleverancier wordt getroffen. Stel, die toeleverancier verzorgt de verzending van jouw producten. Dan liggen de adresgegevens van jouw klanten op straat.  

De strengere regels zijn daarnaast nodig door de verregaande connectiviteit en de verbondenheid in Nederland. Systemen, servers en datacenters zijn onderling verbonden en dat brengt veel voordelen met zich mee, maar ook besmettingsgevaar als het mis gaat.

De NIS2 Richtlijn maakt onderscheid tussen 2 categorieen bedrijven: essentiele bedrijven en belangrijke bedrijven. De essentiele worden nog eens onderverdeeld in kritieke en zeer kritieke sectoren.  

NIS2 heeft als doel de cybersecurity van de EU-lidstaten te verbeteren door aanbieders van essentiële diensten en digitale dienstverleners te verplichten aan bepaalde normen te voldoen. De NIS2-richtlijn heeft als doel de veiligheid van netwerken en informatiesystemen te verbeteren en het risico op cyberaanvallen te verminderen. Bovendien kan het niet naleven van de richtlijn leiden tot financiële en reputatieschade, evenals sancties en boetes van de autoriteiten.

De richtlijn draait het om zorgplicht, meldplicht en toezicht. Dat betekent dat je bedrijf weerbaar moet zijn en adequaat beschermd, dat dit aantoonbaar is met documentatie en dat bedrijven die je erbij helpen, gecertificeerd zijn om deze diensten aan te bieden. Een incident moet binnen 24 uur gemeld worden als dit de continuiteit heeft verstoord en in andere gevallen staat hier 72 uur voor.

Na een incident zullen overheidsdiensten, zoals het Nationaal Cyber Security Centrum optreden. Je zult in ieder geval binnen een maand een verslag van de gebeurtenissen moeten opmaken.

Organisaties moeten aanpassingen doen aan hun IT-systemen om te voldoen aan de NIS2-richtlijn. Dit omvat het identificeren van cyberbeveiligingsrisico’s, het implementeren van beveiligingsmaatregelen, het opstellen van incidentresponsplannen en het samenwerken met autoriteiten.

Je moet jouw organisatie goed voorbereiden om te voldoen aan de NIS2-richtlijn en beschikken over de benodigde kennis, technologie en personeel om IT-systemen te beschermen tegen cyberbedreigingen en te reageren op beveiligingsincidenten.

Nee, je moet nog niet voldoen aan de richtlijn. Maar ja, je moet er nu wel mee aan de slag. Na oktober 2024 moet alles in orde zijn en dat is sneller dan je denkt. En de eisen zijn breed geformuleerd en strenger, dus er ligt huiswerk. Momenteel wordt de Europese richtlijn opgenomen in nationale wetgeving. De vertaling naar Nederlandse wetgeving is dus nu bezig. In het najaar begint hiervoor consultatie bij bedrijven.

Veiligheid op het gebied van Cyber Security is van landsbelang. En een cyberaanval kan gevolgen hebben voor de maatschappij als geheel. Mede om die reden kunnen bestuurders van getroffen bedrijven volgens de NIS2 Richtlijn ook hoofdelijk aansprakelijk worden gesteld voor gemaakte fouten of laks beleid. De boetes zijn in ieder geval verhoogd en kunnen oplopen tot in de miljoenen. Of enkele procenten van de jaarwinst. Je hebt dus iets uit te leggen als het mis gaat. 

Met deze kennis in het achterhoofd, zal het je inmiddels duidelijk zijn: Nietsdoen is geen optie.