Om juiste en goede cybersecurity af te dwingen in heel Europa heeft het Europees Parlement ingestemd met de goedkeuring van NIS2. NIS2 staat voor Network and Information Security Directive en is de opvolger van de NIS-richtlijn. Deze nieuwe wetgeving is verplicht voor essentiële en belangrijke bedrijven. De ingangsdatum is vastgesteld op: 18 oktober 2024.

In Nederland is deze richtlijn vertaald naar de Wet Beveiliging Netwerk en Informatiesystemen (WBNI). De WBNI regelt tot op heden de verdeling van taken en de verantwoordelijkheden op het gebied van cybersecurity tussen overheidsinstellingen. Om er een Nederlandse wet van de maken, maakt de Ministerie van Justitie van de NIS2 de NIB2 (Netwerk- en informatiebeveiliging richtlijn). Publicatie van de nieuwe wet, die WBNI2 genoemd wordt, zal in 2024 gebeuren. Voor Nederland is het dus nog even afwachten, maar dit geeft jou en overige bedrijven de tijd om zichzelf voor te bereiden.

Valt mijn bedrijf onder de NIS2-richtlijn?

De NIS2 richt zich op essentiële sectoren en belangrijke sectoren. Onder de essentiële sectoren vallen grote bedrijven. Op deze bedrijven wordt proactief toezicht gehouden, dus middels audits en scans. Groot houdt meer dan 250 werknemers in, of een netto omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Onder de belangrijke sectoren, vallen de middelgrote organisaties. Op deze bedrijven wordt reactief toezicht gehouden, wat betekent dat er enkel wordt ingegrepen als er aanwijzingen zijn dat iets niet goed gaat. Middelgroot houdt minimaal 50 werknemers in, of een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Hieronder worden de twee sectoren uitgelicht:

Essentiële sectoren:
> Energievoorziening
> Transport
> Bankwezen
> Infrastructuur voor financiële markten
> Gezondheidszorg
> Digitale infrastructuur (communicatienetwerken)
> Drinkwatervoorziening
> Afval- en afvalwaterverwerking
> Overheidsdiensten
> Ruimtevaart
> Beheer van ICT diensten (B2B)

Belangrijke sectoren:
> Digitale aanbieders
> Post- en koerierdiensten
> Afvalstoffenbeheer
> Levensmiddelen
> Chemische stoffen
> Onderzoek
> Vervaardiging / manufacturing

Wat betekent dit voor het MKB?

Micro- en kleine bedrijven vallen in principe niet onder de NIS2-richtlijn. De minister die verantwoordelijk is voor een bepaalde sector, kan er echter wel voor kiezen om een micro- of klein bedrijf alsnog aan te wijzen op basis van een risicobeoordeling, bijvoorbeeld als blijkt dat de dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.

Met het toenemende risicobewustzijn van grote bedrijven groeien ook de cybersecuritystandaarden waaraan de grote bedrijven hun partners houden. Kleinere bedrijven riskeren dat zij cyberveiligheidstoets van hun grote klanten niet doorstaan en zichzelf buitenspel zetten, los van schade aan hun eigen bedrijf. En het zijn juist de kleine bedrijven die voor het eerst meer door cybercriminaliteit worden geraakt dan grote, blijkt uit onderzoek van ABN AMRO. De NIS2 spoort bedrijven aan om afspraken rondom cyberveiligheid contractueel vast te leggen met hun directe leveranciers en partners. Ondanks dat NIS2 niet van toepassing is op kleinere bedrijven, zullen grote klanten naar aanleiding van de nieuwe wet wel degelijk met kritische vragen kunnen komen.

Wat zijn de risicobeheersmaatregelen?

Zoals hierboven al beschreven is, zijn de ‘kleinere bedrijven’ uitgesloten van de NIS2-richtlijn. Deze richtlijn kent twee belangrijke onderdelen, de risicobeheersmaatregelen en rapportageverplichting. De risicobeheersmaatregelen omvatten onderdelen waarop de desbetreffende bedrijven actie moeten ondernemen. De NIS2 beschrijft wel passende technische, operationele en organisatorische maatregelen voor deze bedrijven om risico’s te beperken voor netwerk- en informatiesystemen die in de dagelijkse bedrijfsvoering gebruikt worden. In ieder geval zal beleid gemaakt worden voor de volgende onderwerpen:

> Risicoanalyse en beveiliging van informatiesystemen
> Incidentenbehandeling
> Bedrijfscontinuïteit
> Beveiliging van toeleveringsketen
> Verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
> Effectiviteit van maatregelen voor beheer van beveiligingsrisico’s
> Cyber hygiëne en opleiding daarvan
> Gebruik van cryptografie, zoals encryptie
> Beveiligingsaspecten ten aanzien van personeel
> Gebruik van Multi-Factor Authenticatie (MFA)

Wat kan jij als MKB nu al doen?

In ons blog beschrijven wij dat het MKB het mikpunt is van cybercriminelen. Voor het eerst zijn er meer gevallen van cybercriminaliteit in het MKB dan bij grote ondernemingen. Wij beschrijven een aantal basismaatregelen die jij als MKB meteen kan toepassen:

> Installeer software-updates
> Maak regelmatig back-ups
> Versleutel opslagmedia met gevoelige bedrijfsinformatie
> Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
> Segmenteer netwerken
> Bepaal wie toegang heeft tot jouw data en diensten
> Pas MFA toe!

Fastbyte helpt

Duizelt het je na het lezen van dit blog? Fastbyte maakt ICT behapbaar, zodat jij je kan concentreren op waar jij sterk in bent. Wij bieden verschillende oplossingen, waarbij wij jouw volledige IT beheer voor onze rekening kunnen nemen, een deel hiervan, of alleen enkele cybersecurity maatregelen kunnen instellen zodat jij veilig kan werken. Wel zo fijn! Neem vooral eens vrijblijvend contact met ons op om te zien wat we voor jou kunnen doen.