Digitale veiligheid wordt steeds belangrijker. Vanuit Europa is op 10 november 2022 een nieuwe richtlijn aangekondigd: NIS2, met wettelijke verplichtingen. Net als bij de AVG moeten een flink aantal bedrijven verplicht maatregelen nemen op het vlak van cybersecurity. In het kort:
Wat is NIS2: de wet en de boetes.
Welke bedrijven moeten aan NIS2 gaan voldoen?
Wat moet je gaan doen?
Informeer jezelf met de gratis NIS2 nieuwsbrief en webinars
De EU heeft op 10 november 2022 de NIS2 cybersecurity-richtlijn vastgesteld. De richtlijn zal worden vertaald in Nederlandse wetgeving. De verschillende ministeries gaan daar nu mee aan de slag.
Doel van de wetgeving is om alle bedrijven die vitaal en belangrijk zijn, beter te beschermen tegen digitale criminaliteit zoals cyberaanvallen. Dit heeft ook gevolgen voor de toeleveranciers van die bedrijven. De veiligheid moet binnen de keten worden gewaarborgd.
Steeds meer activiteiten zijn digitaal georganiseerd. Cyberrisico’s nemen daardoor sterk toe. Binnen NIS2 wordt dit belang zwaar gewogen. Enerzijds door in te zetten op regelmatige controles. Anderzijds door naleving van de wet af te kunnen dwingen met boetes. Deze boetes kunnen fors zijn, tot 1,4 en 2 procent van de jaaromzet.
Niet naleven van de regels heeft dan ook grote gevolgen. Het is van belang op tijd stappen te zetten om aan de nieuwe regels te voldoen.
Binnen de wet worden drie groepen onderscheiden:
Veel grote bedrijven hebben al stappen gezet op het gebied van cybersecurity. Voor hen is het van belang deze maatregelen te toetsen aan de nieuwe wetgeving. Een belangrijk nieuw element van de wet: aanpassingen in de ketenverantwoordelijkheid en risico’s. Om de belangrijkste risico’s van de toeleveringsketen verder aan te pakken en essentiële en belangrijke entiteiten die actief zijn in onder de NIS2 richtlijn vallende sectoren te helpen om de risico’s van de toeleveringsketen en de leveranciers op passende wijze te beheren bevat NIS2 daarvoor de nodige onderdelen
Daarom gaat er met name veel veranderen voor toeleveranciers. Bij het verlenen van opdrachten zullen bedrijven strenge regels opstellen om naleving van NIS2 af te dwingen. Het gaat dan om maatregelen op het terrein van kennis, toegang tot data en cyberveiligheid.
Wil je meer weten, meld je aan voor de nieuwsbrief en volg onze webinars voor updates.
De nieuwe wet vraagt veel voorbereiding. Een reële inschatting is om daarmee te starten in het eerste of tweede kwartaal van 2023, maar er nu al over na te denken. Zo voorkom je haastwerk en verbeter je de kwaliteit van je cyberveiligheid
De wetgeving heeft kenmerken van bijvoorbeeld een ISO-certificering. Vanwege de vele aandachtspunten is tijdige start van de voorbereiding noodzakelijk. Veel bedrijven zullen externe ondersteuning gaan inhuren. Vele handen maken licht werk.
Nog niet alle informatie over NIS2 (Wbni) is definitief. De Europese NIS2-richtlijn is vanaf 10 november 2022 aangenomen door het Europees Parlement en zal pas najaar 2024 in werking treden. Het Ministerie van Justitie is bezig met de Nederlandse versie en zal deze na het wetgevingsproces publiceren. Die definitieve versie is nog niet beschikbaar.
Net zoals bij andere Europese wetgeving weten we echter wel van tevoren op hoofdlijnen wat eraan komt. Dat biedt de mogelijkheid nu alvast na te denken over wie wat moet gaan doen en om allerlei voorbereidingen te treffen. Zeker omdat het best veel werk gaat zijn om aan deze wet te gaan voldoen.
NIS2, zal worden vertaald naar NIB2 en daarna omgezet worden in wet. Concreet is dat de Wet bescherming netwerk-informatie systemen, de Wbni. Dit is een uitgebreide en gecompliceerde wettekst. De informatie op dit platform is een gecomprimeerde vereenvoudigde uitleg en interpretatie hiervan. Wij nemen de grootst mogelijke zorgvuldigheid in acht bij de samenstelling en bij het onderhoud van op de website www.samendigitaalveilig.nl verstrekte informatie, maar wij kunnen niet garanderen dat deze informatie altijd volledig juist, compleet en actueel is. De informatie verstrekt op en via onze website is dan ook uitsluitend bedoeld als algemene informatie en hier kunnen verder geen rechten aan worden ontleend.
De inhoud van de website www.samendigitaalveilig.nl kun je gebruiken om een beter beeld te krijgen van de komende cybersecurity-regelgeving en kan helpen bij het vormgeven en uitvoeren van je werkzaamheden. De informatie kan niet worden opgevat als een concreet juridisch advies. Leidend blijft de officiële wettekst van de Wbni en de aanvullingen die er dus nog aankomen.