NIS2: strenge verantwoordelijkheden én cyberboetes

Tussen 2020 en 2021 namen cyberaanvallen met 220% toe. Europarlementarier en cybersecurityspecalist Bart Groothuis noemt het de nieuwe pandemie. Minder zichtbaar dan corona, maar met grote gevolgen. Voor politie en veiligheidsdiensten, maar zeker ook voor de slachtoffers: de grote en kleinere organisaties in de keten. Technische ontwikkelingen erg snel gaan en hackers steeds innovatievere manieren bedenken om organisaties aan te vallen.  Om organisaties te beschermen tegen cybercrime komt er een nieuwe Europese cybersecuritywet: NIS2. En die wet gaat grote én kleine bedrijven raken.

NIS2: voor wie is het?

De NIS2 wet zal binnenkort in werking treden en moet dan door elke Europese lidstaat in het nationaal recht opgenomen worden. De NIS2 is van toepassing op middelgrote en grote organisaties uit acht sectoren die van cruciaal belang zijn voor de economie en de samenleving: de transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming maakt niet meer uit. Het gaat om zo’n 160.000 organisaties over heel Europa in essentiële markten en geldt voor bedrijven met meer dan 50 medewerkers en meer dan 10 miljoen euro omzet.  

NIS2: bescherming van de keten

Veel ondernemers denken: “dat overkomt mij niet”. Maar juist deze denkwijze speelt veel cybercriminelen in de kaart. Want als hackers het gemunt hebben op grote bedrijven, vallen ze vaak eerst kleine bedrijven aan die in connectie staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.

NIS2 gaat gelden voor de hele keten. Organisaties die zelf niet essentieel zijn, maar zakendoen met essentiele bedrijven, vallen dus ook onder de NIS2. Het leveren van software aan een ziekenhuis of hardware voor web- en waterbouw vallen dus opeens ook onder deze keten.

Nieuw in NIS2: bestuursverantwoordelijkheid

Cybersecurity voor het eerst ‘chefsache’, ofwel cybersecurity is niet meer een zaak die je overlaat aan je IT-beheerder, maar waar je zelf als bestuurder verantwoordelijk voor bent. Bestuurders zullen een cruciale en actieve rol spelen bij het toezicht op en de uitvoering van deze maatregelen. Ook kunnen er boetes tot 10 miljoen EUR of 2% van de totale wereldwijde jaaromzet uitgeschreven worden. 

Tips voor de praktijk

De NIS2 vraagt om nieuwe maatregelen, gebaseerd op de drie pilaren van cybersecurity: mensen, proces en technologie. Elk bedrijf doet er verstandig aan om ieder geval de volgende maatregelen in acht te nemen:

  • Risicoanalyse en beveiligingsbeleid voor informatiesystemen
  • Incidentafhandeling (preventie, detectie en reactie op incidenten)
  • Bedrijfscontinuïteit en crisismanagement. 
  • Beveiliging van de toeleveringsketen
  • Beveiliging in netwerk- en informatiesystemen
  • Beleid en procedures voor risicobeheersmaatregelen voor cyberbeveiliging
  • Het gebruik van cryptografie en encryptie. 
  • Cyberbewustzijn & training
    Alle groen gekleurde onderdelen kunnen (compleet en soms ten dele) via Skopos in kaart worden gebracht.  

Lees meer:
KVK over de cyberwetten en wat ze voor je organisatie gaan betekenen
Deloitte over de NIS2
Thehackernews over de NIS2

Schrijf je in voor één van onze webinars en stel direct je vragen!

Lees ook