NIS2

Door de toenemende druk van cyberdreigingen op de veiligheid van onze maatschappij en economie, heeft de Europese Unie op 27 december 2022 de NIS2-richtlijn gepubliceerd. NIS2 staat voor “Netwerk- en Informatiebeveiligingswet 2” en is een nieuwste Europese wet die bedoeld is om de beveiliging van belangrijke infrastructuur, informatie en diensten te waarborgen. Er is al aangekondigd dat het niet naleven van de NIS2-richtlijn kan leiden tot hoge boetes voor ondernemers. In dit artikel bespreken we alles wat MKB-bedrijven moeten weten over NIS2 en hoe jij je op deze aankomende cybersecurity wetgeving kan voorbereiden.

Een mkb-bedrijf kan mogelijk op drie manieren in aanmerking komen om te voldoen aan de NIS2-richtlijn:

• Automatische toewijzing
• Handmatige toewijzing vanuit de minister
• Uitzonderingen

Automatische toewijzing NIS2

Om te bepalen of je mkb-bedrijf automatisch onder de NIS2-richtlijn kan komen te vallen, moet je bedrijf voldoen aan de volgende voorwaarden:

1. Behoort tot een essentiële- of belangrijke sector (zie onderstaande lijst)
2. Minimaal 50 werknemers of;
3. Een jaaromzet / balanstotaal van meer dan 10 miljoen Euro

Handmatige toewijzing NIS2 door minister

De meeste mkb-bedrijven vallen niet automatisch onder de NIS2-richtlijn. Echter kan je bedrijf alsnog worden aangewezen door de minister wanneer je bedrijf van cruciaal belang is voor de economie of maatschappij. Als je bedrijf voor NIS2 in aanmerking komt zal je bedrijf hier vroegtijdig over geïnformeerd worden door het desbetreffende ministerie.

Overige sectoren met toewijzing NIS2

Daarnaast kunnen de onderstaande sectoren bij uitzondering ook automatisch onder de NIS2-richtlijn vallen:

• Aanbieder van vertrouwensdiensten
• Register voor (toplevel)domeinnamen
• Verlener van domeinnaamregistratiediensten
• Aanbieder van openbare elektronische-communicatienetwerken
• Aanbieder van openbare elektronische-communicatiediensten
• Overheidsinstanties

Het is nog niet bekend hoe de NIS2-richtlijn exact wordt toegepast binnen de Nederlandse wetgeving. Maar wel kunnen we alvast drie verplichtingen onderscheiden die de nieuwe cybersecurity wetgeving vorm zullen gaan geven.

Zorgplicht
De NIS2-richtlijn verplicht bedrijven om regelmatig een risicobeoordeling uit te (laten) voeren van hoe de cybersecurity van hun organisatie ervoor staat. Op basis van deze analyses moeten bedrijven passende maatregelen nemen om de bescherming van hun diensten en informatie zo veel  mogelijk te waarborgen.

Meldplicht
De NIS2-richtlijn schrijft voor dat alle incidenten die de verlening van de essentiële dienst aanzienlijk verstoren binnen 24 uur moeten worden gemeld bij de toezichthouder. Daarnaast moeten cyberincidenten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT), dat  hulp- en bijstand kan leveren.

Toezichthouder
Bedrijven die onder de NIS2-richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen. Daarnaast is duidelijk geworden dat het niet naleven van de NIS2-richtlijn kan leiden tot hoge boetes, welke kunnen op oplopen tot 10 miljoen Euro of 2% van de wereldwijde jaaromzet (o.a. afhankelijk van het type incident en de bedrijfsgrote).

De Europese lidstaten moeten de NIS2-richtlijn uiterlijk eind 2024 opnemen in hun nationale wetgeving. Er moet onder andere een zorg- en meldplicht komen voor het naleven van de NIS2-richtlijn, maar de Nederlandse regering is momenteel nog bezig met de vertaling naar de Nederlandse wetgeving. Wel zal er rond de zomer van 2023 een consulatie-periode plaatsvinden, zodat burgers en ondernemers via internet feedback kunnen geven ter verbetering van de nieuwe wet. Organisaties moeten zich dus voorbereiden op mogelijke verplichtingen, maar zullen in de loop van 2023 pas meer duidelijkheid krijgen over de concrete vertaling van de NIS2-richtlijn in Nederland.

In afwachting van de komst van de nationale wetgeving kunnen mkb-bedrijven zich wel alvast voorbereiden op hun zorgplicht. Dit kan je als bedrijf doen door maatregelen te nemen ter verbetering van de veiligheid en weerbaarheid van processen en diensten. Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid benoemd de volgende acht basismaatregelen alvast kunnen nemen ter verbetering van hun IT-veiligheid:

• Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
• Pas multifactor authenticatie toe waar nodig
• Bepaal wie toegang heeft tot bedrijfsdata en diensten
• Segmenteer netwerken
• Versleutel opslagmedia met gevoelige bedrijfsdata
• Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
• Maak regelmatig back-ups van systemen en test deze
• Installeer software-updates

Daarnaast moeten mkb-bedrijven ook denken aan de continuïteit van hun bedrijfsprocessen, bijvoorbeeld door de onderstaande opdrachten uit te voeren en te implementeren binnen de organisatie:

•  Inventariseren en analyseren van risico’s
• Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing
• Identificeren van alternatieve toeleveringsketens
• Bewustwording van personeel van risico’s en te nemen maatregelen

Bij Support IT hebben wij specialisten in dienst die je bedrijf kunnen ondersteunen met de voorbereidingen op de NIS2-richtlijn en je cybersecurity een boost geven. We maken een uitgebreide analyse van je huidige IT-veiligheid en werken op basis hiervan een vrijblijvend advies met verbeteringen voor je uit. Op deze manier kun jij straks met een gerust hart aan het werk, voldoe je aan alle richtlijnen en voorkom je de NIS2 boetes.