Ben jij al klaar voor de nieuwe Europese NIS2-regelgeving?
Je hebt het wellicht al voorbij zien komen in het nieuws: NIS2. De nieuwe Europese regelgeving over cybersecurity. Het is niet altijd de leukste of makkelijkste stof om doorheen te komen, maar wel superbelangrijk. Want wie weet moet jouw bedrijf ook wel voldoen aan deze nieuwe regelgeving. Daarom hebben we security expert Daan Keuper van Computest Security gevraagd om ons in begrijpelijke taal uit te leggen wat NIS2 is en wie er rekening mee moet houden.
Wat is NIS2?
NIS staat voor Network and Information Systems. In 2016 werd de eerste NIS-richtlijn geïntroduceerd in Europa. Aanvankelijk vielen vitale sectoren zoals energie en bankwezen onder deze richtlijn. Met de introductie van NIS2 in januari 2023 is de wetgeving verder aangescherpt en is de lijst met sectoren die aan de regelgeving moet voldoen uitgebreid. De wetgeving is nu ook van toepassing op ‘gewone’ bedrijven die verbonden zijn met de vitale infrastructuur.
NIS2 zorgt ervoor dat organisaties actief met cybersecuritymaatregelen aan de slag moeten en hun weerbaarheid vergroten. Ook voor degene die niet onder deze nieuwe wetgeving vallen, is het een goede houvast om cyberbeveiliging te verbeteren. Digitalisering – en daarmee ook cyberaanvallen – blijven namelijk niet beperkt tot een aantal sectoren. We hebben er allemaal mee te maken. Dus of je nou wel of niet valt onder de nieuwe NIS2 regelgeving, het is verstandig om je cyberbeveiliging op orde te hebben.
Wanneer gaat NIS2 in?
De Europese lidstaten hebben tot september 2024 de tijd om de Europese richtlijnen om te zetten in regionale wetgeving. Als jij onder de nieuwe NIS2 valt, heb je dus nog even de tijd om orde op zaken te stellen. Maar als de nieuwe regionale wetgeving van kracht is moeten bedrijven hun cybersecurity op orde hebben én dit kunnen aantonen. Dat houdt in dat je de risico’s moet kennen, passende maatregelen moet hebben genomen en een continuïteitsplan hebt.
De 2 belangrijke pijlers van NIS2: meldplicht en zorgplicht
Concreet komt het erop neer dat je je moet houden aan 2 belangrijke pijlers.
- Zorgplicht: Organisaties zijn verplicht om hun volledige IT-infrastructuur op orde te hebben en het verkeer op hun eigen netwerk te monitoren.
- Meldplicht: In geval van een cyberincident waardoor de organisatie geen diensten meer kan verlenen, bestaat een meldplicht die binnen 24 uur voldaan moet worden.
Om je cybersecurity op orde te krijgen en te houden kan je samenwerken met een specialistische partij die je daarin ondersteunt.
Aansprakelijkheid en een boeteclausule
NIS2 introduceert een belangrijke verandering waarbij álle bestuurders wettelijk gemachtigd zijn om beveiligingsmaatregelen te nemen. Dit betekent dat bijvoorbeeld de CFO niet langer kan voorkomen dat de CMO budget vrijmaakt voor het uitvoeren van securitytesten. Bij aantoonbare ernstige nalatigheid zijn alle bestuurders persoonlijk en hoofdelijk aansprakelijk.
Daarnaast bevat NIS2 een boeteclausule. Voor essentiële bedrijven kan de boete oplopen tot 10 miljoen euro of 2% van de jaaromzet. Voor bedrijven die als belangrijk worden aangemerkt kan de boete oplopen tot 7 miljoen euro of 4% van de jaaromzet.
Lidstaten kunnen kiezen om sectoren uit te sluiten van de NIS2-wetgeving, zoals bedrijven met minder dan vijftig werknemers of met een jaaromzet van minder dan 10 miljoen euro. Hier is echter nog geen concrete informatie over bekend. Het is belangrijk om te weten dat organisaties zelf moeten inschatten of ze onder de NIS2-wetgeving vallen. Als je geen actie onderneemt omdat je niet op de hoogte was van de wet, word je nog steeds beboet.
Begin op tijd met cybersecuritymaatregelen
Sta je aan het begin van jouw cybersecurityreis? Dan is het verstandig om hier op tijd mee te beginnen. Het ontwikkelen en implementeren van een goede securitystrategie duurt namelijk ongeveer een jaar.
Het startpunt is vaak het uitvoeren van een risicoanalyse. Hiermee kijk je naar de actuele dreigingen voor jouw organisatie. Ieder risico wordt vervolgens beoordeeld aan de hand van twee factoren: de impact van een risico en de kans dat het voorkomt. Op die manier creëer je inzicht in jouw grootste risico’s. Deze inzichten leiden tot een roadmap van maatregelen om jouw risico’s te beheersen, waarmee je uiteraard begint met het onder controle brengen van het grootste risico.
Hulp nodig om je bedrijf klaar te stomen voor NIS2?
Computest Security helpt organisaties bij het in kaart brengen van risico’s en het implementeren van de juiste maatregelen. Ben je benieuwd welke securitymaatregelen je nodig hebt om aan NIS2 te voldoen?
Neem contact met ons op via info@computest.nl of bel naar +31887331337. Onze security specialisten staan klaar om aan de slag te gaan.
Het NIS2 kennisevent
Kom naar het NIS2 kennisevent op 28 november in Zoetermeer! Naast interessante presentaties over de praktische invulling van de NIS2 voor organisaties, is er ook tijd om jouw security uitdagingen voor te leggen aan security expert Daan Keuper en te horen waar andere bedrijven tegenaan lopen. Bekijk hier het programma en meld je aan!
Naar het overzicht