NIS2-richtlijn: de impact op jouw bedrijfsveiligheid

Eind 2024 NIS2-richtlijn verplicht

Let op! Vanaf eind 2024 is deze richtlijn verplicht voor veel bedrijven binnen de EU. Het is dus niet meer de vraag óf, maar hoe je je moet verdiepen in cybersecurity. De belangrijkste reden om aan de NIS2 te voldoen is dat het meer inzicht geeft in het complexe onderwerp cybersecurity en het de digitale weerbaarheid van jouw bedrijf verhoogt. Bovendien blijf je zo een belangrijke partner voor klanten die onder de NIS2 vallen. Het niet naleven van de NIS2 kan leiden tot boetes tot wel 10 miljoen euro of 2% van de jaaromzet.

Maak je bedrijf weerbaar tegen cyberdreigingen met NIS2

In de huidige tijd kun je niet meer om cybercriminaliteit heen. Om deze vorm van criminaliteit tegen te gaan, slaan EU-lidstaten de handen ineen om nog nauwer samen te werken, met als gevolg de NIS2-richtlijn. De NIS2-richtlijn heeft als doel om de cyberbeveiligingsvereisten en de implementatie van maatregelen tussen alle EU-lidstaten te harmoniseren. Hierdoor worden vanaf eind 2024 steeds meer bedrijven verplicht om na te denken over vragen als “hoe gaan wij een cyberincident voorkomen?” en “wat gaan we doen als er toch iets gebeurt?”. Natuurlijk denkt BMD Advies hierover graag met jou mee!

Wat is het verschil tussen ISO 27001 en NIS2?

Een bekende norm met betrekking tot informatiebeveiliging is de ISO 27001. Deze biedt een algemeen raamwerk voor informatiebeveiliging dat door elk type organisatie vrijwillig kan worden geadopteerd. NIS2 stelt specifieke wettelijke vereisten voor beveiliging en incidentrapportage voor organisaties in bepaalde sectoren en diensten binnen de EU. Het naleven van ISO 27001 helpt organisaties om aan sommige van de technische en organisatorische eisen van NIS2 te voldoen, maar NIS2 heeft ook unieke vereisten die buiten het bereik van ISO 27001 kunnen vallen, zoals meldingsplichten voor beveiligingsincidenten. BMD Advies begeleidt in het proces van zowel ISO 27001, NIS2 als cybersecurity. Maar wat betekent cybersecurity precies?

Cybersecurity: jouw digitale schild
Cybersecurity is het fundament van digitaal weerbaar ondernemen. Het beschermt je bedrijf tegen diverse online gevaren zoals malware, ransomware en phishing. Een effectieve cybersecurity-strategie omvat:

• Antivirussoftware en firewalls
• Encryptie van gevoelige data
• Training van medewerkers over veiligheidspraktijken

Door deze maatregelen te implementeren, versterk je de vertrouwelijkheid en beschikbaarheid van bedrijfsinformatie.

De impact van de NIS2-richtlijn op jouw bedrijf – ketenverantwoordelijkheid!

De NIS2-richtlijn gaat de Europese basis vormen op het gebied van cyberbeveiliging en bijbehorende rapportageverplichting voor een groot aantal sectoren. Hierin wordt onderscheid gemaakt in de volgende categorieën:

1: Essentiele Entiteiten die cruciaal zijn voor de Europese samenleving:

• Energie
• Transport
• Bankwezen
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Beheerders van ICT-diensten
• Afvalwater
• Overheidsdiensten
• Ruimtevaart

2: Belangrijke entiteiten die de continuïteit van onze samenleving waarborgen:

• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoeksbureaus
• Vervaardiging/manufacturing

Vanuit de NIS2 wordt de gehele keten verantwoordelijk gesteld voor de digitale veiligheid. Dit betekent dat iedereen die levert aan essentiële of belangrijke entiteiten verplicht wordt om aan de NIS2-richtlijn te voldoen. Ook kan de overheid specifieke organisaties aanwijzen om aan de NIS2 te moeten voldoen, voor deze organisaties geldt ook dat de gehele keten dan verantwoordelijk is.

Uitzonderingen voor kleine organisaties

Kleine organisaties met minder dan 50 medewerkers en een omzet van minder dan 10 miljoen euro vormen een uitzondering op deze richtlijn. Hiervoor dient er gekeken te worden naar de gehele organisatie. Dat betekent dat als een internationale organisatie een handelsvestiging heeft in Nederland met slechts 25 werknemers, zal deze organisatie alsnog aan de NIS2 moeten voldoen.

Moet jouw bedrijf voldoen?

De NIS2-richtlijn is gebaseerd op drie belangrijke pijlers:

1. Zorgplicht
   De NIS2 stelt een belangrijke zorgplicht richting organisaties om zelf verantwoordelijk te zijn voor hun digitale veiligheid. Dit betekent dat bedrijven zelf een risicobeoordeling uit dienen te voeren op hun cyberbeveiliging, net als een RI&E. Op basis van deze ‘cyber RI&E’ moeten organisaties zelf passende maatregelen nemen om hun diensten te waarborgen en informatie te beschermen.
2. Meldplicht
   Organisaties worden verplicht om binnen 24 uur na een incident een melding te doen bij een nader aan te wijzen toezichthouder en het Computer Security Incident Response Team (CSIRT). Om dit te borgen wordt er verwacht dat er vooraf al een concreet plan klaarligt over de te nemen stappen bij een incident.
3. Toezicht
   Een onafhankelijke toezichthouder houdt toezicht en controleert organisaties op naleving van de regels, soms zelfs preventief.

Start op tijd

Cybersecurity is een complex onderwerp, het implementeren van maatregelen kost veel tijd. Daarom adviseren wij om nu al te starten met de nodige voorbereidingen door kritisch te kijken hoe het er nu voor staat met jouw cybersecurity. Bij BMD Advies helpen wij jou hierbij door middel van een gap-analyse. Hiermee schetsen wij een nulmeting van jouw huidige situatie, met als resultaat een helder beeld van wat er ontbreekt voor een sluitend systeem. Het is een startmiddel om inzicht te krijgen in de onderdelen voor een nieuwe of betere inrichting van jouw cybersecurity en zo jouw bedrijfsvoering naar een hoger plan te tillen.