Zo bereid je je voor op de nieuwe NIS2-richtlijnen en verbeter je je cybersecurity
De NIS2-richtlijn (Network and Information Security) is de opvolger van de oorspronkelijke NIS-richtlijn. Deze is door de Europese Unie vastgesteld om cybersecurity en -weerbaarheid in EU-lidstaten te versterken. Het grote verschil met de oorspronkelijke NIS-richtlijn is dat de reikwijdte nu meer sectoren omvat en de richtlijnen strenger zijn. Ook zullen bestuurders en directeur groot aandeelhouders in NIS2 een veel prominentere rol moeten spelen. De implementatie van de NIS2 richtlijn stond oorspronkelijk gepland voor 17 oktober 2024. Echter, het ministerie van Justitie en Veiligheid heeft onlangs aangekondigd dat deze deadline niet gehaald wordt. Er wordt verwacht dat de Nederlandse implementatie, via de Cyberbeveiligingswet, in het tweede kwartaal van 2025 in werking zal treden.
Het is belangrijk om nu al te kijken wat dit betekent voor jouw bedrijf en tijdig maatregelen te nemen zodat je ruim vóór het tweede kwartaal van 2025 aan de minimale eisen voldoet.
Gelden deze nieuwe richtlijnen ook voor jou?
Het is goed om te kijken of jouw onderneming tot de vitale sectoren hoort waar de NIS2-richtlijn op van toepassing is of dat je bedrijf een toeleverancier is in deze keten. De volgende sectoren krijgen te maken met de nieuwe NIS2-richtlijnen:
Als jouw bedrijf tot een van de bovenstaande sectoren behoort én jouw organisatie voldoet aan de gestelde criteria, dan wordt jouw onderneming gezien als een essentiële of belangrijke entiteit en is de NIS2 regelgeving op termijn voor jou van toepassing.
Aan welke verplichtingen moet jij als ondernemer voldoen als het op NIS2 aankomt?
Als ondernemer moet je de juiste voorbereidingen en maatregelen treffen om NIS2 te kunnen implementeren én te onderhouden. Zo heb je onder andere een registratieplicht, een zorgplicht en een meldplicht. De registratieplicht houdt in dat in Nederland gevestigde NIS 2 bedrijven zich bij de NCSC moeten registreren. Deze registratie helpt de EU om beter zicht te krijgen op de digitale weerbaarheid van organisaties. De zorgplicht houdt in dat je vanuit de NIS2 wetgeving verplicht bent om een risicobeoordeling uit te voeren. Dit wil zeggen dat je na moet gaan welke delen van je systemen en gegevens kwetsbaar zijn voor een cyberaanval. Als je dit in beeld hebt gebracht moet je geschikte technische, organisatorische en operationele maatregelen nemen die helpen om je diensten te waarborgen en je netwerk en informatiesysteem te beschermen. Meldplicht wil zeggen dat je incidenten binnen 24 uur na ontdekking moet melden bij de toezichthouder.
In de NIS2-richtlijnen zijn tien voorwaarden vastgelegd waaruit duidelijker wordt waaraan jouw onderneming moet voldoen om cybercriminaliteit te voorkomen of snel tegen te kunnen gaan.
- Beleid van risicoanalyse en beveiliging van informatiesystemen: het maken van duidelijke regels en procedures om de risico’s te begrijpen en te minimaliseren
- Incidentenbehandeling: als er iets misgaat, moet je weten hoe je snel en effectief kan reageren
- Bedrijfscontinuïteit: Zorgen dat je altijd kan blijven werken, zelfs als je te maken hebt met een cyberaanval of andere vormen van cybercriminaliteit
- Beveiliging van toeleveringsketen: je moet ervoor zorgen dat je partners en leveranciers ook veilig zijn én je moet ervoor zorgen dat ze jou niet in gevaar brengen
- Beveiliging van het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen: je moet ervoor zorgen dat je systemen ook veilig zijn als je ze bouwt, gebruikt of update
- Beleid en procedures voor het beoordelen van maatregelen tegen cyberrisico’s: controleer regelmatig of je beveiligingsmaatregelen nog steeds effectief zijn
- Basispraktijken voor cyberhygiëne en opleiding in cyberbeveiliging: iedereen binnen het bedrijf moet de gewoonte hebben om veilig met technologie om te gaan
- Beleid en procedures voor het gebruik van cryptografie en encryptie: alle gegevens moeten veilig versleuteld zijn
- Beveiligingsaspecten met betrekking tot personeel, toegangsbeleid en activabeheer: je moet ervoor zorgen dat alleen de juiste en betrouwbare mensen toegang hebben tot je systemen en gegevens
- Multifactor-authenticatie en beveiligde communicatie: zorg dat je extra beveiligingsmaatregelen treft, zoals het gebruik van meerdere stappen om in te loggen, versleutelde communicatie en een noodcommunicatiesysteem
Kun je je verzekeren tegen een cyberaanval en helpt dit bij NIS2-proof worden?
Bedrijven zijn steeds meer afhankelijk van hun IT-systemen. Dit brengt nieuwe risico's met zich mee. Het mogelijk is om je bedrijf te verzekeren tegen schade door een cyberaanval met een Cyberverzekering. Hiermee is financiële schade, zoals omzetverlies, ransomware, AVG-boetes, forensisch onderzoek bij een cyberincident (zoals een hack of datalek) én herstelkosten aan databestanden gedekt. Ook bevat de Cyberverzekering die je afsluit via Rabobank standaard een dienst die je na een cyberaanval met raad en daad bijstaat om zo al je systemen en je bedrijf zo snel mogelijk weer online te krijgen.
Wanneer je een Cyberverzekering afsluit bij Rabobank inventariseer jij samen met een verzekeringsadviseur of er voldoende maatregelen zijn getroffen op het gebied van mens, techniek en organisatie om verzekerbaar te zijn. Zo zorg je bijvoorbeeld dat je personeel aan de slag gaat met e-learnings om cybercriminaliteit te herkennen, update je regelmatig al je systemen en zorg je dat je cybermaatregelen ook gelden voor je leveranciers.
“Bij het afsluiten van een cyberverzekering ga je actief aan de slag met het inventariseren en oplossen van kwetsbaarheden in je bedrijf. Dit helpt je bij het NIS2-proof worden.”
Een cyberverzekering sluit je dus niet zomaar af.
Een cyberverzekering sluit je dus niet zomaar af. Daarvoor doorloop je verplicht een risicobeoordelingsproces. Deze beoordeling helpt je jouw cyberweerbaarheid in kaart te brengen en de wereld van cyberrisico's te begrijpen. Dat zijn goede voorbereidingsstappen om uiteindelijk NIS2-proof te worden. Echter kan de adviseur verzekeren geen advies geven of de organisatie voldoende maatregelen heeft genomen in het kader van NIS2, maar de verplichte risicobeoordeling voor de Cyberverzekering helpt hier wel bij.
Een ander voordeel van het hebben van een Cyberverzekering is dat je organisatie bij een cyberincident 24/7 het noodnummer kan bellen. Je wordt dan gekoppeld aan een gespecialiseerd team dat je helpt om het cyberincident te onderzoeken en helpt melding te maken van het voorval binnen 24 uur bij de toezichthouder.
Brengt de NIS2-richtlijn verhoogde aansprakelijkheid met zich mee? En wat zijn de eventuele gevolgen hiervan?
De NIS2-wetgeving bepaalt dat bestuurders een cruciale en proactieve rol hebben in de naleving van de vereisten. Het gehele bestuur wordt hierdoor verantwoordelijk voor het cyberrisico. Dit betekent dat jij als bestuurder dit risico niet langer neer kan leggen bij een IT-dienstverlener, IT-afdeling of één individuele bestuurder. Het gehele bestuur dient actief betrokken te zijn bij het cyberbeleid en het gehele bestuur kan hier dan ook op worden aangesproken. Dit betekent dat je als directie en bestuur voldoende kennis en vaardigheden moet hebben om te kunnen inschatten welke gevolgen een cyberincident kan hebben. Ook moet je concreet inzichtelijk hebben welke securitymaatregelen je bedrijf heeft genomen om te voldoen aan de wettelijke verplichtingen.
Indien het bestuur niet aan de gestelde verplichtingen voldoet kan het bestuur persoonlijk aansprakelijk worden gesteld of kan er een bestuursverbod worden opgelegd. Hoewel de precieze consequenties van de nieuwe wetgeving nog niet geheel duidelijk zijn, is het mede vanuit het oogpunt van bestuurdersaansprakelijkheid belangrijk nu al aan de slag te gaan met de NIS2-wetgeving. Denk hierbij ook aan het afsluiten van een Bestuurdersaansprakelijkheidsverzekering.
Wat als je zelf niet onder het toepassingsgebied van NIS2 valt, maar wel levert aan organisaties die aan NIS2-richtlijnen moeten voldoen?
Wanneer je leverancier bent van een bedrijf wat onder het toepassingsgebied van de NIS2 valt, moet je óók maatregelen treffen. De bedrijven aan wie jij als ondernemer levert en die onder het toepassingsgebied van NIS2 vallen, moeten namelijk kunnen aantonen dat hun leveranciers ook cyberveilig zijn. Zo zorg je ervoor dat de organisaties waaraan je levert geen risico's lopen door jou.
“Oók organisaties die zelf niet onder het toepassingsgebied van NIS2 vallen, maar wél leveren aan organisaties die onder het toepassingsgebied van NIS2 vallen, moeten kunnen aantonen dat ze actief werken aan hun digitale veiligheid.”
Als je als leverancier binnen deze categorie valt, biedt het NIS2-keurmerk een duidelijk raamwerk van specifieke richtlijnen en ondersteuningen waardoor duidelijk wordt aan welke nieuwe eisen je moet voldoen. Dit is één van de manieren waarmee je op termijn waarschijnlijk als MKB'er aan je opdrachtgevers, die moeten voldoen aan de NIS2-wetgeving, kunt aantonen dat jij als toeleverancier de juiste veiligheidsmaatregelen hebt getroffen op het gebied van cybersecurity. Sommige bedrijven die onder het toepassingsgebied van NIS2 vallen stellen nog aanvullende eisen waaraan hun leveranciers moeten voldoen. Ga als leverancier op tijd het gesprek aan met jouw afnemers, zodat je weet wat er van jou wordt verwacht.
Wat kun je nog meer doen om je voor te bereiden op NIS2?
Mocht jouw bedrijf binnen een sector van de NIS2 vallen, dan moet je vooral niet te lang wachten met het treffen van voorbereidingen. Een goede voorbereiding kost namelijk al snel een halfjaar. Dit alles kun je in gang zetten door het volgende te doen:
Daarnaast kun je ook nog de volgende vragen stellen om jezelf en je onderneming voor te bereiden op de NIS2-maatregelen:
Eigenlijk is het belangrijkste dat je zorgt dat je bezig blijft met het cyberrisico en dat je documenten en beveiligingsmaatregelen altijd up-to-date zijn.
Dit artikel is mede mogelijk gemaakt door: Renate Breuker, Rabobank