De gevolgen van de NIS2 wetgeving voor jouw organisatie.
Sinds dit jaar geldt een nieuwe Europese cybersecuritywet: NIS2. In Nederland is deze opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen [WBNI]. Deze nieuwe wet vervangt de eerdere NIS1-richtlijn en legt de lat een stuk hoger. Maar wat betekent dit concreet voor jouw organisatie?
Wat is het doel van NIS2?
De NIS2-wetgeving is bedoeld om de digitale weerbaarheid van essentiële sectoren te verbeteren. Denk aan organisaties die een vitale rol spelen in onze maatschappij: van energie en drinkwater tot zorg en digitale infrastructuur. Maar de lijst met sectoren is flink uitgebreid. Grote kans dus dat jouw organisatie er nu ook onder valt.
Wat verandert er?
De wet bestaat uit twee belangrijke onderdelen: zorgplicht en meldplicht.
1. Zorgplicht: je cyberhygiëne moet op orde zijn
Organisaties moeten passende maatregelen nemen om hun IT-omgeving te beveiligen. Denk aan:
Het opstellen van een informatiebeveiligingsbeleid.
Regelmatig scannen op kwetsbaarheden.
Monitoring van het netwerk [bijvoorbeeld via een Security Operations Center].
Risicoanalyses uitvoeren en opvolgen.
Voor veel bedrijven zal dit betekenen dat er flink wat werk aan de winkel is. Zeker als je nog geen ISO 27001-certificering hebt of geen duidelijk inzicht hebt in je huidige cyberweerbaarheid.
Heb je geen eigen SOC? Dan kun je overwegen dit uit te besteden aan een gespecialiseerde partij.
2. Meldplicht: sneller en breder melden van incidenten
Tot nu toe hoefde je alleen datalekken te melden. Met NIS2 moet je ook melding maken van andere serieuze cyberincidenten. Denk aan ransomware-aanvallen of misbruik van kwetsbaarheden. Door deze meldingen kunnen organisaties van elkaar leren en beter reageren op toekomstige aanvallen.
Wie vallen er onder de nieuwe regels?
Onder NIS2 vallen meer sectoren dan voorheen. Naast de ‘klassieke’ vitale sectoren zoals energie, zorg en financiën, worden ook deze sectoren toegevoegd:
Overheidsdiensten
Ruimtevaart
Post- en koeriersdiensten
Chemie
Voedingsindustrie
Afvalbeheer
Industrie
Managed service providers [zoals IT-dienstverleners]
In totaal zullen naar verwachting zo’n 6.000 Nederlandse organisaties onder deze wet vallen. De exacte invulling, zoals wat precies wordt verstaan onder een “managed service provider”, wordt later dit jaar bekendgemaakt.
Val je niet onder een essentiële sector? Dan ben je nog steeds niet automatisch veilig. Cybercriminelen maken geen onderscheid.
Wat betekent dit voor jou?
Als je organisatie onder NIS2 valt, dan moet je:
Jouw digitale infrastructuur goed beveiligen.
Interne processen inrichten rondom cybersecurity.
Melding maken van serieuze incidenten.
Samenwerken met overheidsinstanties bij incidenten.
Bepaalde gegevens bewaren voor onderzoek [zoals logbestanden].
En dat is niet vrijblijvend. Overheden krijgen meer mogelijkheden om te controleren of organisaties zich aan de regels houden. Worden er gebreken geconstateerd? Dan kan de Autoriteit Persoonsgegevens of de Autoriteit Consument & Markt een boete opleggen tot 10% van je jaaromzet.
Hoe bereid je je voor?
Wacht niet tot het te laat is. Dit kun je nu al doen:
Breng je huidige cybersecurity-volwassenheid in kaart.
Zorg voor een actueel en gedragen informatiebeveiligingsbeleid.
Train je medewerkers: herkennen ze phishing? Weten ze wat hun rol is bij een incident?
Scan je netwerk regelmatig op zwakke plekken.
Zorg voor een incident response plan: wat doe je als het tóch misgaat?
Test je maatregelen regelmatig. Alleen dan weet je of ze echt werken.
Tot slot
De NIS2-wetgeving is een belangrijke stap in de strijd tegen cybercriminaliteit. Of je nu verplicht bent om eraan te voldoen of niet: het is slim om je cybersecurity serieus te nemen. De dreiging is reëel, de risico’s groot, en de impact op je bedrijfscontinuïteit kan enorm zijn.
Wil je hulp bij het inrichten van jouw cybersecuritybeleid of SOC? Cubics helpt je graag op weg naar een veilige IT-omgeving, voor jou én je gebruikers.
Behoefte aan meer informatie over de NIS2-wetgeving?
