Nieuwe Europese ‘cyber security’-richtlijn voor het mkb
NIS2
Waarschijnlijk heeft u nog nooit gehoord van NIS2 of zijn voorganger NIS, een Europese richtlijn op het gebied van netwerk- en informatiesystemen. Dat is begrijpelijk. NIS beperkte zich tot nu toe namelijk vooral tot grote ondernemingen in kritische sectoren. Denk aan drinkwatervoorziening, energie, digitale infrastructuur, het bankwezen, financiële markten, de gezondheidszorg en de transportsector.
Wat is de NIS?
NIS staat voor Network and Information Security. Deze richtlijn vindt zijn oorsprong in 2016. Het is de eerste EU-wetgeving op het gebied van cyberbeveiliging. In Nederland is de NIS in 2018 geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn voorziet in maatregelen die ondernemingen moeten motiveren om hun cyberweerbaarheid beter op orde kunnen brengen.
Waarom is er een nieuwe versie van de NIS?
Het aantal cyberaanvallen is de laatste jaren, met name tijdens de COVID-19-crisis en sinds de invasie in Oekraïne, fors gegroeid en geëvolueerd. In 2021 registreerde de politie in Nederland 14.000 gevallen van cybercrime. Een toename van bijna een derde vergeleken met één jaar eerder. En maar liefst drie keer zoveel als in 2019! Cybercriminelen worden inventiever en breiden hun aanvallen ook uit naar macOS, Linux en andere, nieuwe omgevingen. Een trend die onverminderd doorzet. Niet alleen in Europa, maar ook in de rest van de wereld. De Europese Commissie presenteerde daarom in december 2020 een nieuwe EU-cyberbeveiligingsstrategie. Zij deed ook een voorstel voor nieuwe regels om kritieke entiteiten fysiek én digitaal weerbaarder te maken: de NIS2-richtlijn.
Op welke ondernemingen hebben de NIS2-richtlijnen betrekking?
NIS2 heeft een groter bereik dan zijn voorganger NIS. Het toepassingsgebied van de richtlijn is uitgebreid naar andere sectoren. NIS2 geldt voor ondernemingen die actief zijn in of op het gebied van energie, vervoer, het bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie en digitale aanbieders. Daarnaast richt NIS2 zich niet langer alleen op grote ondernemingen, maar óók op het midden- en kleinbedrijf. De richtlijn geldt bovendien ook voor toeleveranciers en ketenpartners voor en van bedrijven die actief zijn in deze sectoren, ongeacht de bedrijfsomvang.
Wat zijn de gevolgen van het niet volgen van de NIS2-richtlijn?
Nog een belangrijk verschil met NIS zijn de strengere toezichtmaatregelen en handhavingsvereisten, waaronder geharmoniseerde sancties in de hele EU. Zo kan een bestuurder van een onderneming straks verantwoordelijk worden gehouden voor aantoonbare nalatigheid op het gebied van cyberveiligheid, met boetes als gevolg. De hoogte van deze boetes zijn vergelijkbaar met de boetes die de Autoriteit persoonsgegevens oplegt bij overtredingen binnen de GDRP/AVG.
Wanneer treedt de NIS2 in werking?
In mei 2022 hebben het Europees Parlement en de EU-lidstaten een politiek akkoord bereikt over de NIS2-richtlijn. Zodra het Europees Parlement deze formeel heeft goedgekeurd, wordt NIS2 aangenomen en start de implementatie in de EU-lidstaten. Naar verwachting is dat nog dit jaar of uiterlijk in het eerste kwartaal van 2023. De lidstaten hebben na inwerkingtreding van de richtlijn 2 jaar de tijd om deze in nationaal recht om te zetten.
Wat kunt u doen om alvast aan de richtlijn te voldoen?
Het Nationaal Cyber Security Centrum (NCSC) voorziet in een aantal basismaatregelen rondom cybersecurity om uw cyberweerbaarheid te verhogen:
- Installeer software-updates zodra ze worden aangeboden;
- Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert;
- Pas twee-factorauthenticatie (2FA) toe waar nodig;
- Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten, bijvoorbeeld door Role Based Access Control (RBAC) in te richten;
- Segmenteer netwerken, zodat het totale bedrijfsnetwerk uit verschillende zones bestaat die niet zomaar gelijktijdig kunnen worden platgelegd;
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze met een firewall, anti-malware en virusscanner;
- Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons met gevoelige bedrijfsinformatie;
- Maak regelmatig back-ups van systemen en test deze ook.
Bovenstaande maatregelen vormen een goede basis waarop u uw cyberveiligheid verder kunt uitbouwen. Is de NIS2 voor uw bedrijf van toepassing? Of valt uw bedrijf erbuiten, maar wilt u graag uw cyberweerbaarheid bespreken? Neem dan contact met ons op. Als ISO27001 gecertificeerde ICT-dienstverlener zijn wij op de hoogte van alle risico’s op het gebied van informatiebeveiliging. Wij helpen u graag met oplossingen op maat. Twijfelt u over uw cyberveiligheid of wilt u een extra controle uitvoeren? Ook dan helpen wij u graag!
Bronvermelding:
https://www.nu.nl/tech/6208117/meer-sectoren-krijgen-in-eu-meldplicht-voor-cyberincidenten.html
https://www.ngb.nl/nieuws/nis2-richtlijn-cybersecurity-voer-voor-de-bedrijfsjurist