Cybercriminelen kunnen bij 93% van de bedrijfsnetwerken binnendringen. Niet zo gek dus, dat Europa de nieuwe NIS2-richtlijn in het leven riep. Deze securityrichtlijn moet zorgen voor meer cyberveiligheid en weerbaarheid van essentiële bedrijven in de EU. Een tijdje terug schreven we al een blog over de essentie van NIS2. Inmiddels is er meer bekend over de nieuwe richtlijn. Zo heeft de Nederlandse overheid aangegeven dat ze de deadline voor de NIS2-wetgeving niet haalt. Benieuwd naar de laatste ontwikkelingen? Lees dan snel verder!
Had jij een jaar geleden al van de NIS2-richtlijn gehoord? Was jouw organisatie er toen al actief mee bezig? De kans is groot dat dat het antwoord ‘nee’ is, maar dat gold toen voor de meeste organisaties. Inmiddels verschijnt de cybersecurityrichtlijn regelmatig in het nieuws. Heb je deze berichten toch gemist? We zetten de belangrijkste basics over de NIS2 nog even kort voor je op een rij:
Goed om te weten: veel NIS2-maatregelen zijn onderdeel van de basis informatiebeveiligingsmaatregelen die je organisatie waarschijnlijk nu al voor een deel neemt. Deze maatregelen zijn ook in andere (inter)nationale standaarden opgenomen, zoals ISO27001 en NEN7510.
Meer weten over wat de NIS2-richtlijn is, wat je verplichtingen zijn en voor wie de richtlijn geldt? Dat lees je hier.
Wat betekent de NIS2-richtlijn voor Nederland? Zoals hierboven al kort aangehaald, krijgen Europese lidstaten tot 17 oktober 2024 de tijd om de NIS2-richtlijn om te zetten naar nationale wetgeving. Eind februari liet Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius weten dat Nederland deze deadline niet gaat halen. De reden? Het wetgevingstraject en de materie is complexer dan verwacht.
Dat is dan ook meteen één van de redenen dat je dit als ‘belangrijke’ of ‘essentiële’ organisatie moet zien als een signaal om vooral níét achterover te leunen: de complexiteit. Ook demissionair minister Yeşilgöz roept organisaties op om de voorbereidingen toch verder te zetten. Je kunt beter vandaag beginnen en het tempo erin houden, want een goede voorbereiding neemt tijd in beslag.
Veel Nederlandse bedrijven hebben ‘nog geen idee’ wat hen te wachten staat. Volgens Samen Digitaal Veilig heeft de nieuwe Europese richtlijn gevolgen voor ruim 50.000 Nederlandse bedrijven. Slechts een kleine minderheid is van de nieuwe eisen op de hoogte. Dit kan grote gevolgen hebben voor het Nederlandse bedrijfsleven. Duizenden bedrijven dreigen klanten kwijt te raken als ze te laat aan de slag gaan met de NIS2-implementatie. Vooral Duitsland is koploper en hecht zwaar aan de naleving.
Nóg een reden om met de NIS2-wetgeving aan de slag te gaan (als je die nog nodig had)… Internationaal wordt de Europese wetgeving wel gewoon volgens plan uitgevoerd. Wacht dus zeker niet als jouw organisatie internationale vestigingen of klanten heeft.
Anticiperen op de NIS2-richtlijn is volgens Thierry van Delden, Compliancy & Privacy Offer bij Infoland, niet alleen een kwestie van willen voldoen aan nieuwe wetgeving. “Voldoen aan de richtlijn is een strategische stap om je als organisatie goed te bewapenen tegen cyberdreigingen. En ook al is het niveau van je cybersecurity nog zo goed, je zal als je onder de NIS2-richtlijn valt een hoop aanvullende maatregelen moeten nemen.”
Denk aan het opzetten van het beleid en de procedures waarmee je de meldplicht vormgeeft, maar ook het in kaart brengen en waarborgen van risico’s. Het gaat dan niet alleen om de beveiligingsrisico’s in je eigen organisatie – de NIS2-richtlijn beschrijft duidelijk dat je ook de veiligheid binnen je leveranciersketen moet waarborgen.
Welke maatregelen je moet nemen als de richtlijn ingaat, hangt af van welk label je organisatie krijgt: ‘essentieel’ of ‘belangrijk’. De labels waren nog niet opgenomen in de oude NIS-richtlijn van 2016.
Het aantal sectoren is uitgebreid, omdat er tegenwoordig nu eenmaal veel meer cyberaanvallen plaatsvinden dan in 2016. Zo meldt het Nationaal Cyber Security Centrum (NCSC) dat er tussen maart 2022 en februari 2023 meer dan 10.000 cyberincidenten zijn gemeld. De NIS-richtlijn moest dus worden aangescherpt, de labels ‘essentieel’ en ‘belangrijk’ helpen hierbij.
Organisaties die kritiek zijn voor het draaiende houden van de Nederlandse maatschappij, krijgen het label ‘essentieel’. Als vuistregel kun je aanhouden dat wanneer zo’n organisatie stil zou komen te liggen door een cyberaanval, dit een ernstige impact zou hebben op het land. Denk aan energiecentrales, luchthavens, banken of ziekenhuizen.
Wanneer organisaties met het label ‘belangrijk’ zouden uitvallen heeft dit wellicht geen directe gevolgen voor de samenleving, maar het kan wel een grote impact hebben op ons leven en de Nederlandse economie. Voorbeelden van ‘belangrijke’ organisaties zijn telecom- of internetproviders, post- en pakjesdiensten of afvalverwerkingsbedrijven.
“Voor essentiële of belangrijke organisaties gelden straks dezelfde eisen voor cybersecuritymanagement, ze hebben allemaal een zorgplicht”, zegt Thierry. “Het belangrijkste verschil tussen de twee labels is de mate van toezicht op het naleven van de regels.”
Wanneer je als essentiële organisatie niet voldoet aan de richtlijn, zijn de gevolgen dus groter. Zo kun je te maken krijgen met boetes die oplopen tot minstens 10 miljoen euro of 2% van je jaaromzet. Leef je de NIS2-richtlijn niet na als belangrijk bedrijf? Dan kun je en boete krijgen van maximaal 7 miljoen euro of 1,4% van je wereldwijde jaaromzet.
Onvoldoende bekendheid met de nieuwe richtlijn kan het Nederlandse bedrijfsleven zwaar komen te staan. Om dit te voorkomen is Samen Digitaal Veilig (SDV) opgericht. Met deze samenwerking slaan 63 branche- en koepelorganisaties de handen ineen. Het doel van SDV is om toeleveranciers van NIS2-organisaties te helpen hun cybersecurity op orde te krijgen. Volgens SDV kun je niet langer wachten om met NIS2 aan de slag te gaan. Nederland behoort volgens hen tot de achterlopers. Een gezamenlijke inspanning is nodig!
Ook de Rijksoverheid adviseert organisaties om stappen te zetten, om zo de continuïteit van de bedrijfsprocessen beter te waarborgen. Dit zijn voor een deel ook de maatregelen die als zorg- en meldplicht in de NIS2-wetgeving worden opgenomen.
Hoewel Zenya geen security-oplossing an sich is, kan onze software jouw organisatie wel degelijk helpen met het borgen van de maatregelen. Zenya RISK kun je inzetten voor het in kaart brengen van je cybersecurityrisico’s. Zo kun je ze op een eenvoudige manier identificeren, beheersen, monitoren én aantoonbaar maken. Met Zenya CHECK kun je belangrijke leveranciers auditen op het naleven van de NIS2-richtlijn. De mate waarin je dit zult moeten doen, hangt af van het label waar je organisatie en leveranciers onder vallen (essentieel of belangrijk).
Daarnaast bieden we een kant-en-klare ISMS oplossing aan in Zenya. Onze bewezen ISMS oplossing wordt al door veel klanten succesvol ingezet.
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.