NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ (NIS). Deze richtlijn is in Nederland opgenomen in de Wet beveiliging netwerk- en informatie-systemen (Wbni).
We zijn er inmiddels al aan gewend, bedrijven die gehackt worden met alle gevolgen van dien. De risico’s en de gevolgen nemen niet af en toch zijn we als “nuchtere” Hollanders te passief. Dit kan natuurlijk niet ongestraft blijven en we zien dan ook juridische ontwikkelingen die ondernemers, bedrijven en instellingen gaan dwingen om meer maatregelen te nemen. Doe je dit niet en val je straks onder de NIS2 wetgeving, zijn de boetes niet mild. Deze kunnen oplopen tot 2% van de jaaromzet. Bestuurders kunnen hier ook persoonlijk op aangesproken worden!
De nieuwe wetgeving rondom cyberbeveiliging zal begin volgend jaar in Nederland van kracht worden met als doel de algemene cyberbeveiliging binnen de EU te versterken.
Als MKB ondernemer krijg je hier onherroepelijk mee te maken, vooral wanneer je essentiële activiteiten uitvoert met bedrijven die vallen onder de verruiming van NIS2, denk aan de gezondheidszorg, banken – financiële sector, transportsector, energievoorziening en digitale infrastructuur.
Let op! Valt jouw bedrijf niet onder deze branche, maar verwerk je wel essentiële gegevens voor dergelijke bedrijven, dan val je dus ook onder de NIS2 Wetgeving door de zogenaamde ketenaansprakelijkheid.
Wat te doen?
Onder NIS2 ben je verplicht om verstoringen in de digitale dienstverlening te melden.
Naast een meldplicht heb je een zorgplicht. Je moet beveiligingsmaatregelen nemen die nodig zijn om de digitale veiligheid en de doorgang van de dienstverlening te kunnen waarborgen. Denk aan;
- Pas sterke authenticatie toe, bepaal wie toegang heeft en op welke systemen en locaties.
- Gebruik versleuteling. Het versleutelen van bedrijfsinformatie maakt data onbruikbaar.
- Bescherm tegen verlies van gegevens. In het back-up beleid worden eisen meegenomen voor het bewaren en beschermen van data.
- Richt patchmanagement in. Een proces om updates voor software te identificeren, te testen en te installeren.
- Centraliseer & analyseer loginformatie. Logbestanden spelen een sleutelrol in detecteren van aanvallen en afhandelen van incidenten.
Aan de slag
Jouw organisatie voldoet wellicht al aan een aantal gestelde maatregelen en dat is fijn. Om er zeker van te zijn dat je straks volledig voldoet aan de NIS2 richtlijnen, adviseren wij je nu in gesprek te gaan om te kijken wat je nog moet doen om jouw organisatie beter te beschermen. Het verzorgen van een aantal van deze verplichtingen kan middels een cyberverzekering www.dataverzekering.nl waarin awareness training voor personeel en een responseplan is opgenomen. Dat scheelt weer een aantal stappen en de kosten zijn gedekt.
Kijk voor meer toelichting over de consequenties van NIS2 ook eens op;