In januari is de Europese NIS2-richtlijn van kracht gegaan. Met deze nieuwe richtlijn worden de verplichte cybersecurity-maatregelen voor bedrijven die als vitaal worden beschouwd uitgebreid. Onder deze categorie vallen sectoren zoals de gezondheidszorg, post- en koeriersbedrijven, en ook alle MSP’s (ICT-dienstverleners). Echter, de impact van cyberaanvallen is niet beperkt tot deze sectoren. Ook ‘gewone’ bedrijven zijn kwetsbaar en lopen aanzienlijke schade op als ze geen adequate beveiliging hebben.
NIS2 is een Europese cybersecurityrichtlijn die lidstaten tot september 2024 de tijd geeft om regionale wetgeving op te stellen. Deze nieuwe richtlijn is van toepassing op een veel breder scala aan bedrijven dan zijn voorganger, NIS1, die in 2016 van kracht werd. De aangescherpte wetgeving reikt nu ook tot alles wat verband houdt met vitale infrastructuur.
Tegenwoordig worden vrijwel alle bedrijven geconfronteerd met cyberdreigingen, waardoor het beschermen van informatie steeds belangrijker wordt. De introductie van de NIS2-richtlijn geeft bedrijven die tot nu toe weinig aandacht aan cybersecurity hebben besteed een duidelijke motivatie om actie te ondernemen. Zij moeten hun beveiliging op orde hebben en kunnen aantonen dat ze voldoen aan de gestelde eisen. De richtlijn bevat verschillende maatregelen, zoals beveiliging in toeleveringsketens, toegangscontrole en encryptie.
Aansprakelijkheid en meldplicht
NIS2 introduceert een nieuwe bevoegdheid waarbij alle bestuurders wettelijk verantwoordelijk zijn voor het nemen van beveiligingsmaatregelen. Dit betekent bijvoorbeeld dat de CFO niet langer de budgettering van de CMO kan blokkeren voor het uitvoeren van pentesten. Bij ernstige nalatigheid zijn alle bestuurders persoonlijk aansprakelijk en hoofdelijk verantwoordelijk. Bovendien worden bedrijven die onder de NIS2-wetgeving vallen verplicht om incidenten die hun dienstverlening verstoren binnen 24 uur te melden. Ze moeten ook binnen een maand na afhandeling van het incident een rapport indienen.
Boetes en uitzonderingen
NIS2 bevat ook boeteclausules voor bedrijven die hun zaken niet op orde hebben. Voor als essentieel aangemerkte bedrijven kunnen de boetes oplopen tot 10 miljoen euro of 2 procent van de totale jaaromzet. Voor bedrijven die als belangrijk worden beschouwd, kan de boete oplopen tot 7 miljoen euro of 4 procent van de jaaromzet. Het is daarom essentieel voor bedrijven om te bepalen of ze onder de NIS2-wetgeving vallen en aan de gestelde eisen moeten voldoen. Hoewel er geen kant-en-klare lijst beschikbaar is, hebben lidstaten de mogelijkheid om bepaalde sectoren uit te sluiten op basis van criteria zoals het aantal werknemers of de jaaromzet. Het is echter aan bedrijven zelf om te beoordelen of ze onder de NIS2-wetgeving vallen.
Het belang van proactieve maatregelen
Het is positief dat NIS2 bedrijven verplicht om actief aan de slag te gaan met cybersecurity-maatregelen en hun veerkracht te vergroten. Zelfs voor bedrijven die niet binnen de specifieke sectoren vallen die als essentieel of belangrijk zijn aangemerkt, biedt deze richtlijn een waardevol raamwerk om hun cybersecurity op orde te brengen en bij te dragen aan een veerkrachtiger Nederland op het gebied van cyberbedreigingen.
Aan de slag
Omdat het ontwikkelen en implementeren van een beveiligingsstrategie vaak minstens een jaar in beslag neemt, is het raadzaam om nu actie te ondernemen. De eerste stap is het identificeren van de risico’s door middel van een grondige risicoanalyse, waarbij rekening wordt gehouden met de huidige dreigingen waarmee bedrijven te maken kunnen krijgen. Elk risico moet vervolgens worden geëvalueerd op basis van impact en waarschijnlijkheid. Op basis van deze beoordeling kunnen bedrijven vaststellen welke risico’s de hoogste prioriteit hebben. Een roadmap van maatregelen kan worden opgesteld om de belangrijkste risico’s op een aanvaardbaar niveau te brengen. Door proactief in te spelen op de vereisten van de NIS2-wetgeving voorkomen bedrijven dat ze achter de feiten aanlopen en onnodig risico lopen op boetes.
Dit is een ingezonden bijdrage van Computest. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.