De NIS2-wetgeving, die staat voor “Network and Information Systems Security Directive”. Het is een regelgevingskader dat tot doel heeft de Cyberweerbaarheid in de hele Europese Unie te verbeteren en gelijk te trekken. Deze wetgeving is zeker een belangrijke stap in de richting van cyberweerbaarheid. Waar NIS zich vooral richtte op Electra- en gas producenten en de core-infrastructuur van de energie voorziening, is NIS2 gericht op een veel bredere groep bedrijven (zie tabel verderop).
In Nederland zal de NIS2 wet ingaan op 24 oktober 2024. Daarmee zal ook direct de naleving ingaan. Dat is dan van toepassing op alle focus organisaties en daar zit ook het MKB tussen. Hoewel de NIS2-wetgeving een positieve stap is in de richting van betere cyberbeveiliging, is de weg ernaartoe ingrijpend. Vooral voor kleinere bedrijven die niet over dezelfde middelen als grotere organisaties beschikken.
Wie krijgt te maken met NIS2
De wet gaat onderscheidt maken in twee focus gebieden: Essentiële en Belangrijke entiteiten. Het belangrijkste verschil zal zijn dat de groep “Belangrijke” soortgelijk reactief toezicht krijgen zoals we bij de AVG zien. Daarnaast zijn er lagere financiële veroordelingen bij een overtreding. Daar en tegen gaat de Essentiële groep proactief toezicht krijgen, hogere sancties en persoonlijke aansprakelijkheid voor management, directie en bestuur. Een overzicht staat hier:
| Essentieel | Belangrijk |
| Energie Productie, levering, distributie, transmissie en verkoop | Post- en koerierdiensten Alle aanbieders |
| Transport Weg, water, lucht en spoor | Afvalbeheer Alles dat met afval verwerking te maken heeft |
| Financieel Handel, markt, infrastructuur | Chemische producten Productie en distributie |
| Medisch Zorgverleners, laboratoria, farmaceutica, productie hulpmiddelen | Fabrikanten Medische apparatuur, Computers, electronica, optisch, machines, alle transportmiddelen |
| Water Drinkwater, afvalwater verwerking | Voedsel Productie en distributie |
| Digitale infra en IT Diensten DNS, Datacenters, Cloud providers, Beheerde diensten, beheerde veiligheidsdiensten | Digitale aanbieders Online marktplaatsen, zoekmachines en sociale platformen |
| Openbaar bestuur Landelijk, regionaal en lokaal bestuur is nog ter discussie | Onderzoekorganisaties |
| Space Infrastructuur op de grond ter ondersteuning van ruimteluchtvaart |
Elke organisatie moet zelf achterhalen of en op welk niveau de organisatie aan NIS2 moet voldoen. Daarbij rekening houdend met eigen omvang en onder andere het aandeel in de markt. En onderneming die onder Belangrijk valt kan door deze elementen alsnog als Essentieel gekenmerkt worden.
Een ander element voor een onderneming is de positie binnen de Supply Chain. Is een onderneming onderdeel van een Essentiële Supply Chain, wordt de onderneming ook Essentieel. Ongeacht of deze vanuit entiteit en omvang in Belangrijk is ingedeeld.
Uitdagingen NIS2
Vooral voor kleinere bedrijven gaat het een uitdaging zijn om aan de NIS2-regelgeving te voldoen door een gebrek aan middelen én deskundigheid. De NIS2-wetgeving bevat specifieke eisen waaraan bedrijven moet voldoen. Denk aan processen rondom het beheer, risicobeheersing, bedrijfscontinuïteit en de rapportage aan de autoriteiten. En dan de technische invulling van (opvolging op) incidenten, netwerkbeveiliging, toegangscontrole, encryptie en cybersecurity in al zijn aspecten. Deze eisen kunnen voor kleinere bedrijven kostbaar en tijdrovend zijn. Een moeizaam traject voor het MKB om aan te voldoen.
Ondanks de uitdagingen is de NIS2-wetgeving essentieel voor kleinere bedrijven. Cyberaanvallen hebben verwoestende gevolgen voor elke organisatie, juist voor het MKB. Een cyberaanval kan leiden tot datalekken, financiële verliezen en reputatieschade en faillissementen. Allemaal schadelijk voor het voortbestaan van een (klein) bedrijf. NIS2 helpt ook kleinere bedrijven hun cyberbeveiligingsmaatregelen te verbeteren en zich beter te beschermen tegen potentiële cyberdreigingen.
Sancties NIS2
De financiële sancties zijn aanzienlijk te noemen. Voor ondernemingen in Essentieel minimaal 10 miljoen Euro of 2% van de wereldwijde omzet als dat hoger is. Voor Belangrijk ligt dat op 7 miljoen of 1,4%. Daarnaast is er binnen NIS2 een persoonlijke aansprakelijkheid ingebouwd voor management, directie en bestuur als de verplichtingen van NIS2 niet nagekomen worden. Zij kunnen vanuit NIS2 ook strafrechtelijk vervolgd worden.
Na een geconstateerd vergrijp kan een organisatie onder continue toezicht geplaatst worden ongeacht of het Essentieel of Belangrijk is. Denk aan regelmatige en verplichte audits en rapportageverplichtingen die veel tijd en energie kunnen gaan kosten.
Voordelen NIS2
De NIS2-wetgeving heeft op lange termijn een positief effect op bedrijven. Door te voldoen aan de NIS2-regelgeving verbeteren bedrijven hun cyberbeveiligingsmaatregelen. Dat leidt tot meer vertrouwen en loyaliteit van de klant en de toeleveranciers. Die worden zich steeds meer bewust van het belang van cyberbeveiliging. Zij zullen eerder zaken doen met bedrijven die prioriteit geven aan ook hun beveiliging. Daarom helpt de naleving van de NIS2-wetgeving om klanten aan te trekken en te behouden door hun reputatie te verbeteren.
Conclusie
Kortom, nis2 wetgeving brengt Cyberweerbaarheid heeft zowel positieve als negatieve gevolgen voor bedrijven. Hoewel het regelgevingskader voor het MKB een uitdaging is om aan te voldoen, is het essentieel om de cyberbeveiligingsmaatregelen te verbeteren. Alleen zo kan het zich beschermen tegen potentiële cyberdreigingen. Het is ook de kans om hun cyberbeveiligingsmaatregelen te versterken en dus hun reputatie op de lange termijn te verbeteren.
Kleinere bedrijven roepen steeds vaker de hulp in van deskundigen op het gebied van IT beheer en cyberbeveiliging. Dat zal ervoor te zorgen dat zij voldoen aan de vereisten van de NIS2-wetgeving. De beweging naar het inzetten van een Managed Service Provider (MSP) is dan ook groeiende. Op die manier gebruikt het MKB de expertise op IT-gebied in de breedste zin en wordt voldaan aan de NIS2 wetgeving. Naast een betere bescherming tegen cyberdreigingen en een efficiëntere IT-inzet, zal dit het vertrouwen van de klanten vergroten.
Ook wij willen gaan voldoen aan NIS2. De elementen zijn bij ons reeds bekend en ingevoerd vanuit industrie-best practice. Onze “Uw eigen IT Afdeling” klanten profiteren daar automatisch van mee. Interesse? Wij komen graag een en ander uitleggen. Maak hier direct een afspraak in onze agenda.
