In 2016 werd de NIS-richtlijn geïntroduceerd. Het legt regels op voor “essentiële bedrijven” zoals grote ondernemingen in vitale sectoren zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. De NIS2-richtlijn is de opvolger van NIS (Network and Information Security). In mei 2022 keurden het Europees Parlement en de EU-lidstaten de NIS2-richtlijn goed. Het verschil tussen NIS en NIS2 is dat NIS2 voor meerdere sectoren geldt, niet alleen voor grote organisaties maar ook voor MKB bedrijven.
Met de NIS2-richtlijn wil de Europese Unie bedrijven motiveren hun cyber security op orde brengen. De toename van cyberdreiging is hier de oorzaak van. Onze digitale maatschappij zou ontwricht kunnen worden door de nieuwe cyberaanvallen die de digitale wereld bedreigen.
De grootte van de onderneming maakt voor NIS2 niet meer uit. De Kamer van Koophandel schreef een blog over bedrijven voor wie NIS2 gaat gelden en de uitzonderingen. In 2023 gaan de NIS2 richtlijnen ook voor het MKB gelden die essentiële activiteiten uitvoeren of met partners werken die dit doen.
Wat bedoelen ze met essentiële activiteiten? NiS2 is op jouw onderneming van toepassing als je valt onder één van deze sectoren:
Wanneer je zelf niet werkzaam bent in een van de bovengenoemde sectoren, maar wel samenwerkt met bedrijven die dit doen, geldt NIS2 voor jouw organisatie. Wanneer je producten levert aan een bedrijf in de transport sector, zaken doet met een logistieke partner of een dienst levert aan een organisatie in de zorgsector dien je jouw cyberveiligheid op orde te brengen.
Voor NIS2 maakt het niet uit waar jouw bedrijf gevestigd is, maar waar je activiteiten uitvoert. Ieder bedrijf dat ergens in de EU diensten aanbiedt en ‘essentiële activiteiten’ uitvoert, zal zich aan de nieuwe richtlijn moeten houden. Wanneer je zaken doet met een niet-Europese partij moet je controleren of die partij in de EU essentiële activiteiten uitvoert.
Wanneer er aangetoond kan worden dat je niet aan de richtlijnen voldoet, wordt het senior management van jouw organisatie aansprakelijk gesteld. Hierna volgt een boete van 2% van je jaaromzet. De reden van 2% komt voort uit het feit dat – bij een ransomware aanval – vaak 2% van je jaaromzet wordt geëist. Dus krijg je de keuze; geef ik het aan die ransomware-aanvallers of investeer ik dat bedrag in veiligheid en cybersecurity?
Wanneer jij jouw cyberveiligheid professioneel hebt aangepakt zullen er niet veel wijzigingen in het beleid komen. Maar voor veel MKB bedrijven zullen er veranderingen moeten plaatsvinden.
Heb jij vragen over jouw huidige cyberveiligheidsbeleid, of wil je tips om dit te verbeteren? Lees hier onze blog om je cybersecurity up-to-date te houden, of neem contact op voor advies van onze experts.
Neem dan nu contact op met één van onze cyber security experts
