NIS2 komt eraan en de tijd dringt!
Verwacht wordt dat tegen eind 2024 er nieuwe regels komen die gebaseerd zijn op de Europese NIS2-richtlijn. Deze richtlijn richt zich op hoe bedrijven hun netwerken en computersystemen veilig moeten houden. De kans bestaat dat dit ook voor jouw bedrijf geldt.
De huidige NIS cybersecurity richtlijn is namelijk enkel van toepassing op grote ondernemingen in vitale sectoren, maar dat verandert met NIS2. Deze nieuwe richtlijn zal gelden voor een veel breder scala aan sectoren, inclusief het mkb. Als mkb-ondernemer dien je dus serieus te overwegen of NIS2 ook voor jou relevant is. Is dit het geval?
NIS2 is een nieuwe Europese regel (NIS komt hiermee te vervallen) komt die ervoor zorgt dat bedrijven binnen de
EU beter hun best moeten doen om hun netwerk- en informatiesystemen binnen de EU veilig(er) te houden.
Met de snelle digitale ontwikkelingen en toenemende cyberdreigingen is NIS2 ontworpen om organisaties en consumenten beter te beschermen.
Het primaire doel van NIS2 is het bereiken van een hoger niveau van cyber security. Dit omvat niet alleen kritieke infrastructuur zoals energie en transport, maar ook een scala aan bedrijven en digitale diensten.
Met de nieuwe regelgeving wil de EU een uniform niveau van beveiliging en incidentrapportage beschermen, wat veilig is aan een veiligere digitale omgeving voor iedereen.
De huidige NIS cybersecurity richtlijn is enkel van toepassing op grote ondernemingen in vitale sectoren, maar dat verandert met NIS2.
Deze nieuwe richtlijn zal namelijk gelden voor een veel breder scala aan sectoren, inclusief het mkb.
Als mkb-ondernemer dien je dus serieus te overwegen of NIS2 ook voor jou relevant is. Is dit het geval?
We begrijpen dat doorlopen van de stappen van NIS2-richtlijn een uitdaging kan zijn.
Wij helpen je verder!
Vallen de activiteiten van jouw bedrijf onder de categorie ‘essentiële activiteiten‘?
Volgens de Europese Commissie zijn er acht sleutelsectoren die onder deze definitie vallen: transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van het bedrijf doet er niet toe. Zelfs kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partners worden geconfronteerd met NIS2. Later dit jaar zal de Nederlandse wetgever sectoren definiëren die onder NIS2 vallen.
Heb je zakelijke relaties met leveranciers of partners in essentiële activiteiten?
NIS2 richt zich op de volledige toeleveringsketen. Dit betekent dat ook bedrijven die zelf geen essentiële activiteiten uitvoeren maar wel zaken doen met organisaties in die categorie moeten voldoen aan NIS2. Het is dus belangrijk om te achterhalen of jouw partners mogelijk onder deze categorie vallen. Lever je bijvoorbeeld software aan partijen zoals KPN of PostNL? Doe je zaken met een transporteur die ook medische apparatuur vervoert? Lever je hardware aan een kleine energieleverancier? In al deze gevallen moet je voldoen aan NIS2.
Worden die essentiële activiteiten ergens in de Europese Unie uitgevoerd?
Voor NIS2 is het niet relevant waar jouw bedrijf gevestigd is, maar wel waar de activiteiten plaatsvinden. Dit wordt “extraterritoriale werking” genoemd. Als je dus ergens in de Europese Unie diensten aanbiedt die onder essentiële activiteiten vallen, moet je voldoen aan de nieuwe richtlijn. Zelfs als je zaken doet met een niet-Europese partij die essentiële activiteiten uitvoert in de Europese Unie!
Met NIS2 moet je elk probleem in je digitale diensten melden.
Je hebt niet alleen een meldingsplicht, maar ook een zorgplicht. Dit betekent dat je alle noodzakelijke beveiligingsmaatregelen moet nemen om je digitale diensten veilig en continu te laten werken. Bij niet-naleving van deze regels kunnen er sancties worden opgelegd. Je hebt tot eind 2024 om je hierop voor te bereiden.
NIS2 geeft dus (mogelijk) aanleiding tot veel werk. Voer een grondige analyse uit van de risico’s en organiseer bijbehorende procedures voor risicobeheer. Het is belangrijk dat je in staat bent om te reageren op incidenten. En dat het plan voor incidentrespons ook daadwerkelijk wordt getest door de betrokken partijen.
Bij DotSafe hebben we deskundige cyber security experts die je kunnen helpen om te voldoen aan NIS2. Laat ons je helpen bij:
Zorg dus dat je systemen op orde zijn. Verdiep je goed in de materie en neem nu alvast je maatregelen – wacht niet tot de nieuwe richtlijnen van kracht worden. En aarzel vooral niet om één van onze cyber security excperts om raad en advies te vragen. Zij weten hoe je met dit bijltje hakt.
Het handhaven van NIS2 is een zaak waar je zomaar mee geconfronteerd kunt worden. Verwacht echter niet dat de boetes mild zullen zijn. Maar het aantal boetes sinds de invoering van de AVG valt nog best mee, nietwaar? Dat klopt inderdaad. Maar de handhaving van de AVG vindt plaats op basis van een sanctiebeleid achteraf: controle na ernstige verdenking dat een bedrijf niet aan de regels voldoet. NIS2 zal daarentegen worden gehandhaafd volgens een sanctiebeleid vooraf. Dit betekent dat er willekeurige controles zullen plaatsvinden. Je kunt dus plotseling worden aangepakt!
Wil je weten hoe je je hierop voorbereidt?
Lees het in onze FAQ
