Samen Digitaal Veilig is een initiatief van MKB-Nederland

NIS2: Nieuwe wet
voor digitale veiligheid

Wetgeving van start: de regels en de boetes

Digitale veiligheid wordt steeds belangrijker. Vanuit Europa is op 10 november 2022 een nieuwe richtlijn aangekondigd: NIS2, met wettelijke verplichtingen. Net als bij de AVG moeten een flink aantal bedrijven verplicht maatregelen nemen op het vlak van cybersecurity. In het kort:

  • Verplicht voor essentiële en belangrijke bedrijven
  • Invloed op een flink aantal toeleveranciers
  • Focus op de volledige toeleveringsketen
  • Strenge controle en boetes aangekondigd
De wet

Wat is NIS2: de wet en de boetes.

Voor wie

Welke bedrijven moeten aan NIS2 gaan voldoen?

To do's

Wat moet je gaan doen?

Nieuwsbrief en webinars

Informeer jezelf met de gratis NIS2 nieuwsbrief en webinars

Schrijf je in voor de gratis NIS2 nieuwsbrief

Wetgeving: samen tegen cyberrisico's

De EU heeft op 10 november 2022 de NIS2 cybersecurity-richtlijn vastgesteld.  De richtlijn zal worden vertaald in Nederlandse wetgeving. De verschillende ministeries gaan daar nu mee aan de slag.

Doel van de wetgeving is om alle bedrijven die vitaal en belangrijk zijn, beter te beschermen tegen digitale criminaliteit zoals cyberaanvallen. Dit heeft ook gevolgen voor de toeleveranciers van die bedrijven. De veiligheid moet binnen de keten worden gewaarborgd.

Strenge controles en boetes

Steeds meer activiteiten zijn digitaal georganiseerd.  Cyberrisico’s nemen daardoor sterk toe. Binnen NIS2 wordt dit belang zwaar gewogen. Enerzijds door in te zetten op regelmatige controles. Anderzijds door naleving van de wet af te kunnen dwingen met  boetes. Deze boetes kunnen fors zijn, tot  1,4 en 2 procent van de jaaromzet.

Niet naleven van de regels heeft dan ook grote gevolgen. Het is van belang op tijd stappen te zetten om aan de nieuwe regels te voldoen.

Voor wie: gevolgen voor grote én kleinere bedrijven

Binnen de wet worden drie groepen onderscheiden:

  1. essentiële / vitale bedrijven
  2. belangrijke bedrijven
  3. toeleveranciers van groep 1 en 2

Veel grote bedrijven hebben al stappen gezet op het gebied van cybersecurity. Voor hen is het van belang deze maatregelen te toetsen aan de nieuwe wetgeving. Een belangrijk nieuw element van de wet: aanpassingen in de ketenverantwoordelijkheid en risico’s. Om de belangrijkste risico’s van de toeleveringsketen verder aan te pakken en essentiële en belangrijke entiteiten die actief zijn in onder de NIS2 richtlijn vallende sectoren te helpen om de risico’s van de toeleveringsketen en de leveranciers op passende wijze te beheren bevat NIS2 daarvoor de nodige onderdelen

Daarom gaat er met name veel veranderen voor toeleveranciers. Bij het verlenen van opdrachten zullen bedrijven strenge regels opstellen om naleving van NIS2 af te dwingen. Het gaat dan om maatregelen op het terrein van kennis, toegang tot data en cyberveiligheid.

Wil je meer weten, meld je aan voor de nieuwsbrief en volg onze webinars voor updates.

To do's: concrete stappen op weg naar NIS2

  • Binnen NIS2 zijn veel concrete voorschriften opgenomen. Het gaat om maatregelen op het terrein van ICT, juridische aangelegenheden, organisatie, procedures en opleiding.
  • Maken van een risicoanalyse en beleid inzake de beveiliging van informatiesystemen.
  • Bedrijfscontinuïteit en crisisbeheer; zoals back-ups en noodherstel.
  • Toeleveranciers worden heel belangrijk. De beveiliging van de toeleveringsketen: leveranciers van diensten op het gebied van gegevensopslag en -verwerking moeten in kaart gebracht worden en je moet zeker weten dat ze veilig werken.
  • Alles laten testen door hackers.
  • Pen-Testen.
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen.
  • Beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen.
  • Computerhygiëne van medewerkers.
  • Training en opleiding van medewerkers en management op het gebied van cyberbeveiliging.
  • Duidelijk beleid of procedures voor het gebruik van cryptografie of encryptie.
  • Veel meer personeelsbeveiliging, toegangscontrolebeleid en activabeheer.
  • Verplicht multi-factor-authenticatie of continue authenticatie-oplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatie.
  • Registratie bij ENISA.
  • Juridische zaken vastleggen bij toeleveranciers.
  • Controle op veiligheid bij toeleveranciers.

Een goede voorbereiding is het halve werk

De nieuwe wet vraagt veel voorbereiding. Een reële inschatting is om daarmee te starten in het eerste of tweede kwartaal van 2023, maar er nu al over na te denken. Zo voorkom je haastwerk en verbeter je de kwaliteit van je cyberveiligheid

De wetgeving heeft kenmerken van bijvoorbeeld een ISO-certificering. Vanwege de vele aandachtspunten is tijdige start van de voorbereiding noodzakelijk. Veel bedrijven zullen externe ondersteuning gaan inhuren. Vele handen maken licht werk.

Schrijf je in voor de gratis NIS2 nieuwsbrief

Blijf op de hoogte en mis niets over NIS2

  • De laatste updates over de wetgeving
  • Analyses en tips van experts
  • Verhalen uit de praktijk

Disclaimer

Nog niet alle informatie over NIS2 (Wbni) is definitief. De Europese NIS2-richtlijn is vanaf 10 november 2022 aangenomen door het Europees Parlement en zal pas najaar 2024 in werking treden. Het Ministerie van Justitie is bezig met de Nederlandse versie en zal deze na het wetgevingsproces publiceren. Die definitieve versie is nog niet beschikbaar.

Net zoals bij andere Europese wetgeving weten we echter wel van tevoren op hoofdlijnen wat eraan komt. Dat biedt de mogelijkheid nu alvast na te denken over wie wat moet gaan doen en om allerlei voorbereidingen te treffen.  Zeker omdat het best veel werk gaat zijn om aan deze wet te gaan voldoen.

NIS2, zal worden vertaald naar NIB2 en daarna omgezet worden in wet. Concreet is dat de Wet bescherming netwerk-informatie systemen, de Wbni. Dit is een uitgebreide en gecompliceerde wettekst. De informatie op dit platform is een gecomprimeerde vereenvoudigde uitleg en interpretatie hiervan. Wij nemen de grootst mogelijke zorgvuldigheid in acht bij de samenstelling en bij het onderhoud van op de website www.samendigitaalveilig.nl verstrekte informatie, maar wij kunnen niet garanderen dat deze informatie altijd volledig juist, compleet en actueel is. De informatie verstrekt op en via onze website is dan ook uitsluitend bedoeld als algemene informatie en hier kunnen verder geen rechten aan worden ontleend.

De inhoud van de website www.samendigitaalveilig.nl kun je gebruiken om een beter beeld te krijgen van de komende cybersecurity-regelgeving en kan helpen bij het vormgeven en uitvoeren van je werkzaamheden. De informatie kan niet worden opgevat als een concreet juridisch advies. Leidend blijft de officiële wettekst van de Wbni en de aanvullingen die er dus nog aankomen.