​​Bereid u voor op de nieuwe Europese richtlijn op cyber security: NIS2

Eind 2024 gaat er een nieuwe Europese cyber security richtlijn van kracht, de NIS2. Dit gaat voor ondernemingen gepaard met cruciale veranderingen in het beheren van hun IT-systemen. Wat dat precies voor uw MKB-bedrijf betekent en welke actiepunten u moet ondernemen, behandelen we in dit blogartikel.

Wat is de NIS2?

NIS2 staat voor “Network and Information Systems directive” en richt zich op het versterken van de digitale weerbaarheid in specifieke en kritieke sectoren in alle Europese lidstaten. De richtlijn moet helpen om de regels op het gebied van cyber security tussen lidstaten gelijk te trekken en zorgen voor een hoger niveau van cyberveiligheid bij bedrijven en organisaties. De NIS2 vormt een voortzetting en uitbreiding van de vorige EU-richtlijn voor cyberbeveiliging (NIS1), die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

De NIS2-richtlijn is nodig vanwege diverse ontwikkelingen die de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan de corona pandemie, de oorlog in Oekraïne,de gevolgen van klimaatverandering en de inter- en nationale cyber dreigingen. De Europese Unie werkt, samen met de lidstaten, sinds 2020 aan de NIS2. De Nederlandse overheid streeft naar een nationale implementatie door deze richtlijn om te zetten naar Nederlandse wetgeving via de Cyberbeveiligingswet (Cbw). De exacte datum van inwerkingtreding is nog niet bekend, maar naar verwachting wordt dit het tweede of derde kwartaal van 2025. Echter raden we u aan daar niet op te wachten en nu al actie te ondernemen. Verderop in het artikel gaan we in op wat u kunt doen. Eerst gaan we dieper in op wat de NIS2 en Cbw voor uw mkb-bedrijf betekent.

Wat betekent de NIS2 voor het MKB?

Voor het MKB brengt de NIS2-regelgeving zowel uitdagingen als kansen met zich mee. Aan de ene kant wordt u gedwongen om de cyberbeveiliging te verbeteren om te voldoen aan de nieuwe normen en vereisten. Ook wordt verwacht dat u proactieve maatregelen neemt om cyberaanvallen te voorkomen, zoals het implementeren van de juiste software en het regelmatig updaten hiervan. Net zoals dat uw medewerkers zich bewust zijn van de gevaren en het hebben van protocollen, zodat u adequaat kan reageren wanneer er wel een cyberaanval plaatsvindt.

Aan de andere kant biedt de NIS2 u toegang tot meer middelen en begeleiding om uw bedrijf te wapenen tegen cyberdreigingen. In ieder geval is het een mooie gelegenheid om uw eigen cyberveiligheid onder de loep te nemen.

Geldt de NIS2 ook voor mijn bedrijf?

Of de NIS2 – en dus de Cbw – ook voor uw mkb-onderneming geldt, hangt af van de sector waarin uw bedrijf opereert én de grootte. De kans is heel groot dat de NIS2 indirect op uw onderneming van toepassing is. Veel mkb-bedrijven zijn namelijk toeleverancier van NIS2-bedrijven en die zullen eisen gaan stellen aan de digitale beveiliging bij hun toeleveranciers.

Of u nu te maken krijgt met NIS2 of niet, het is in dit tijdperk noodzakelijk om uw cyber security op orde te hebben. Een cyberaanval kan namelijk uw bedrijf veel geld kosten, uw reputatie ernstig schaden, of zelfs het einde van uw bedrijf betekenen.

Wat kunt u doen om voor te bereiden op de NIS2

Ten eerste controleer of uw mkb-onderneming onder de NIS2 valt, door de NIS2 Zelfevaluatie vragenlijst te doorlopen. Daarnaast kunt u de NIS2 Quickscan doen. Aan de hand van 40 vragen controleert u hoe de cyberbeveiliging van de organisatie ervoor staat conform de strekking van de Europese NIS2-richtlijn.

Ook is het verstandig om alvast de volgende stappen te ondernemen, zelfs als u niet onder de NIS2-richtlijn valt:

• Maak een risicoanalyse en -beoordeling van de fysieke en digitale risico’s die de dienstverlening van uw onderneming kunnen verstoren. Bekijk bijvoorbeeld het stappenplan risicoanalyse.
• Neem waar mogelijk maatregelen die uw onderneming beter beschermen tegen deze risico’s.
• Zorg voor procedures die uw onderneming in staat stellen om incidenten die bedrijfsprocessen (kunnen) verstoren te detecteren, te monitoren, op te lossen en te melden. Stel bijvoorbeeld een incident response plan op.

We snappen dat deze wetgeving niet het leukste onderdeel is van uw bedrijfsvoering, maar noodzakelijk is het wel. Compete kan u helpen met het doorlopen van de Quickscan, de zelfevaluatie, het maken van een risicoanalyse en incident response plan. Neem hiervoor contact met ons op.

Wanneer u bij ons het ‘Managed Workplace Security’ pakket afneemt bent u verzekerd dat u aan de NIS2 richtlijn kan voldoen.