NIS2 voor bedrijven

NIS2 is de nieuwe Europese wetgeving voor cybersecurity. De regels worden strenger én gelden voor meer organisaties en bedrijven dan voorheen. Het doel is simpel: minder kans op digitale incidenten en sneller, beter handelen als er toch iets misgaat. In Nederland wordt de NIS2-richtlijn verwerkt in de Cyberbeveiligingswet (voorheen WBNI). Daardoor krijgen meer bedrijven te maken met duidelijke eisen rond beveiliging, meldingen en verantwoordelijkheid. De NIS2-richtlijn is de opvolger van de oude Europese richtlijn: Network Information Security (NIS). Ook als je niet direct onder de wetgeving valt, kun je er toch mee te maken krijgen. Bijvoorbeeld via klanten of leveranciers die wél aan de NIS2-regels moeten voldoen. Zo kun je verplicht worden om gecertificeerde ICT-producten te gebruiken. Dat betekent in praktijk dat je niet zomaar elke oplossing of leverancier kunt inzetten, maar moet kunnen aantonen dat deze voldoet aan vastgestelde beveiligingseisen. Doe je dit niet? Dat loop je het risico op hoge boetes én het verlies van klanten.

De NIS2-richtlijn (de opvolger van NIS) is een stuk breder dan z’n voorganger. Meer sectoren en meer typen bedrijven vallen onder deze wetgeving. Daarnaast kijkt NIS2 niet alleen naar techniek, maar ook hoe je dit als organisatie inricht en beheert. Wie is verantwoordelijk, welke afspraken liggen vast en hoe toon je aan dat jij je ICT en security op orde hebt? Voor veel bedrijven betekent dit dat cybersecurity nadrukkelijker onderdeel wordt van inkoop, contractbeheer en IT-beleid. Niet als losse controle, maar als vast onderdeel van hoe je systemen kiest, gebruikt en beheert.

NIS2 legt ook meer nadruk op meldingen. Je moet incidenten sneller en duidelijker melden én vastleggen wie daar verantwoordelijk voor is. Denk aan een ransomware-aanval waarbij systemen tijdelijk niet meer beschikbaar zijn of een datalek waarbij gevoelige bedrijfs- of klantgegevens zijn ingezien. Maar ook langdurige uitval van IT-systemen door een storing, een cyberaanval of misbruik van accounts door phishing moeten gemeld worden. Daarnaast krijgen bestuur en management een grotere rol. Cybersecurity is niet langer iets van alleen de IT-afdeling, maar van de hele organisatie.

NIS2 geldt voor organisaties die belangrijk zijn voor de economie en samenleving. Dit zijn sectoren als energie, vervoer, zorg, digitale diensten, productie en veel soorten zakelijke dienstverlening. Of je precies onder NIS2 valt, hangt af van je sector en vaak ook van de grootte van je bedrijf. Maar, zoals gezegd, er zijn uitzonderingen. Oók als je formeel niet onder NIS2 valt, kan een klant vragen om bewijs dat je basis op orde is. In de praktijk zien we dit steeds vaker terug in contracten en voorwaarden, omdat organisaties eigen risico’s willen (of moeten) beperken en alleen zaken doen met partijen die veilig werken.

NIS2 noemt verschillende onderwerpen waar je aandacht aan moet geven. Denk aan beleid en afspraken, technische beveiliging, processen voor incidenten en het trainen van mensen. Concreet gaat het vaak om zaken als het regelmatig uitvoeren van een risicoanalyse, het goed regelen van back-ups en herstel, het veilig werken met leveranciers en duidelijke instructies voor medewerkers. Ook encryptie en veilig omgaan met accounts en toegangen spelen een rol. Net als basishygiëne: updates, sterke wachtwoorden, multi-factor authenticatie (MFA) waar mogelijk en duidelijke afspraken over wie wat mag.