NIS2 in Nederland: Wat het MKB moet weten

Wat is de NIS2?

NIS2 staat voor de herziene richtlijn voor de beveiliging van netwerk- en informatiesystemen, oftewel de Network and Information Systems Directive. Deze richtlijn bouwt voort op de oorspronkelijke NIS-richtlijn uit 2016 en heeft als doel de digitale weerbaarheid van de Europese Unie te versterken. De NIS2-richtlijn bevat strengere beveiligingseisen en breidt de scope uit naar meer sectoren.

Voor wie geldt de NIS2?

De NIS2-richtlijn is van toepassing op een breed scala aan sectoren, waaronder:

• Energie
• Transport
• Gezondheidszorg
• Voedselindustrie
• Drinkwatervoorziening
• Digitale infrastructuur

Niet alleen grote ondernemingen, maar ook het MKB dat essentiële diensten levert of belangrijke digitale diensten aanbiedt, vallen onder de NIS2. Dit betekent dat het MKB aandacht moet besteden aan deze richtlijn. Ook in andere sectoren zijn er steeds meer bedrijven die vragenlijsten sturen en eisen stellen op het gebied van cyberveiligheid aan hun leveranciers.

Op deze website kun je zelf controleren of je bedrijf onder de NIS2 valt. Deze tool helpt om te bepalen of je bedrijf aan de nieuwe richtlijnen moet voldoen en welke stappen je moet nemen.

 

Waarom is de NIS2 in het leven geroepen?

De noodzaak voor NIS2 is ontstaan door de toenemende frequentie en ernst van cyberaanvallen. De oorspronkelijke NIS-richtlijn bleek niet effectief genoeg om de huidige en toekomstige cyberdreigingen aan te pakken. NIS2 is ontworpen voor:

• Betere beveiliging en weerbaarheid: Verhoogde normen en praktijken voor cyberbeveiliging in de hele EU.
• Verbeterde samenwerking: Beter gecoördineerde reacties op cyberincidenten tussen EU-lidstaten.
• Uitbreiding van de reikwijdte: Meer sectoren en organisaties zijn nu verplicht om aan de richtlijn te voldoen.

 

Vertraagde invoer geen excuus voor afwachtende houding 

De NIS2-richtlijn is officieel op 16 januari 2023 in werking getreden en moet op 17 oktober 2024 geïmplementeerd zijn door alle Europese lidstaten. Nederland heeft aangegeven dit niet te gaan halen; de verwachting is dat Nederland er in de zomer van 2025 klaar voor is. Het uitstel geeft Nederlandse bedrijven extra tijd om zich voor te bereiden op de nieuwe eisen.

Het uitstel in Nederland betekent overigens niet dat je nu nog niets hoeft te doen. Bij Perfect Day zien we dat veel bedrijven de cyberveiligheid op de lange baan schuiven nu er vertraging is, terwijl het implementeren van de minimale maatregelen voor de meeste bedrijven minimaal 6 maanden in beslag zal nemen. Als alle bedrijven tegelijk willen beginnen met inventariseren wordt het waarschijnlijk lastig om op tijd een expert of consultant te vinden. Het is voor alle bedrijven van groot belang om de cyberveiligheid op orde te hebben, aangezien een cyberincident altijd kosten en stress met zich meebrengt.

 

Gevolgen voor internationaal zakendoen

Dat Nederland de implementatiedeadline niet haalt, kan impact hebben op internationaal zakendoen. Afnemers uit andere EU-landen, waar de NIS2 al wel in oktober 2024 van kracht is, zullen strengere eisen aan hun ketenpartners stellen. Dit betekent dat het MKB mogelijk al moet voldoen aan hogere cyberveiligheidsstandaarden bij internationale samenwerkingen.

Gevolgen voor bedrijven die niet onder de NIS2 vallen

Ook als een bedrijf niet direct onder de NIS2 valt, kunnen er toch gevolgen zijn:

• Eisen van grotere afnemers: Grotere bedrijven die wel onder de NIS2 vallen, stellen eisen aan hun leveranciers op het gebied van cyberveiligheid. Zij zijn onder de NIS2 verplicht om hun keten te controleren. Dit betekent dat je als MKB-leverancier moet voldoen aan beveiligingsnormen om zaken te blijven doen met grote afnemers.
• Indirecte verplichtingen: Klanten en afnemers stellen steeds strengere (beveiligings)eisen aan hun leveranciers. Dit dwingt het MKB te investeren in betere beveiligingsmaatregelen.

 

Belangrijke maatregelen uit de NIS2

Er zijn enkele minimale maatregelen die je voor de NIS2 moet treffen. Deze maatregelen zijn overigens op elk bedrijf dat de risico’s en gevolgen van cyberincidenten wil verkleinen van toepassing:

1. Organisatorische maatregelen: Zorg voor een informatiebeveiligingsbeleid en wijs verantwoordelijkheden toe. Inventariseer informatie, hard- en software, leg toegangsrechten vast. Inventariseer de keten en zorg voor een noodplan.
2. Mensgericht: Zorg ervoor dat het personeel bewust is van cyberdreigingen en de juiste procedures volgt. Regelmatige trainingen en phishingtests helpen om de awareness en kennis van het team up-to-date te houden.
3. Technologisch: Beveilig netwerk en apparaten met firewallbescherming, antivirussoftware en encryptie. Stel overal tweefactorauthenticatie (2FA) in en zorg dat alle apparaten op tijd worden geüpdatet. Zorg voor een goed back-upbeleid.
4. Fysiek: Zorg voor goede controle op toegang tot het bedrijfspand en cruciale apparatuur.

 

Conclusie

De NIS2-richtlijn is een belangrijke stap vooruit in de bescherming van netwerken en informatiesystemen in de EU. Voor het MKB betekent dit dat er voorbereid moet worden op strengere beveiligingseisen en nieuwe verplichtingen. Hoewel de implementatie in Nederland is uitgesteld, is het belangrijk om nu al actie te ondernemen en te investeren in de cyberbeveiliging. Niet alleen om te voldoen aan de regelgeving, maar ook om je bedrijf te beschermen tegen de groeiende dreiging van cyberaanvallen. Het inschakelen van een onafhankelijke partij voor advies is hierbij een waardevolle stap