Samen Digitaal Veilig is een initiatief van MKB-Nederland

De wet NIS 2

Alle bedrijven die ‘essentiële diensten’ leveren moeten gaan voldoen aan de nieuwe Europese cyberwet, NIS2. (NIS staat voor Network and Information Security). Op dit moment geldt in Europa NIS1, een wet voor essentiële bedrijven, zoals water- en telecombedrijven. NIS2 heeft betrekking op  veel meer bedrijven.

NIS1 is in Nederland vertaald naar de Wbni* (Wet Beveiliging Netwerk- en Informatiesystemen). De Wbni wordt uitgebreid op basis van de Europese NIS2-richtlijn.

Een flink aantal bedrijven in ons land gaan hiermee te maken krijgen!

NIS2 gaat over:

  • Voor de samenleving essentiële en vitale bedrijven (circa 1.280 bedrijven)
  • Als belangrijk aangemerkte bedrijven (circa 3.100 bedrijven)
  • Toeleveranciers aan die essentiële, vitale en belangrijke bedrijven (een flink aantal bedrijven)

De huidige wet Wbni* heeft betrekking op 300 bedrijven. Het aantal bedrijven dat direct of indirect met NIS2 te maken gaat krijgen, zal dus enorm toenemen. Voorbeelden: technologische ondernemingen, kleine fabrieken, internet serviceproviders en bedrijven die te maken hebben met water of energie. Daarnaast ook de levensmiddelensector (voedselproductie en supermarktketens), partijen in de chemische en maakindustrie, afvalverwerking, transport, post- en koeriersdiensten en de gezondheidszorg, bijvoorbeeld fabrikanten van medische hulpmiddelen.

Doel: veiligheid in de keten, waardoor Nederland blijft draaien

Cybercriminaliteit is uitgegroeid tot een van de grootste bedreigingen voor bedrijven. En dus voor de economie en de burgers. Cybercriminelen richten jaarlijks voor honderden miljoenen euro’s schade aan. Dat bedrag stijgt hard. Het is niet meer voldoende dat alleen grote bedrijven zich goed beveiligen. Hackers die zich richten op grote bedrijven, vallen vaak eerst de kleine bedrijven aan die in verbinding staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.

Met de nieuwe wet worden de grote bedrijven en hun bestuurders verantwoordelijk voor de keten. Ze zullen hun kleinere leveranciers op allerlei manieren verplichten om cybersecurity serieus te regelen. Dat gaat veel verder dan het alleen op te nemen in een contract; er hangt ook een een aparte administratie aan vast en er zullen audits uitgevoerd gaan worden. De NIS2-wetgeving verplicht tot het goed vastleggen en kunnen aantonen van de gedane inspanningen. Je bent als groot bedrijf verantwoordelijk als een toeleverancier een incident veroorzaakt in de keten. Controle en bewaking van de hele keten onder je is nodig.

Strenge handhaving

NIS2 gaat een flinke impact hebben op bedrijven. Cybersecurity wordt een directie-aangelegenheid. Je kunt het thema niet louter overlaten aan je ICT-afdeling. Je bent als bestuurder zelf verantwoordelijk. Het thema cybersecurity moet volledig worden ingebed in de organisatie. Het zal besproken moeten worden binnen de directie, met de ICT-afdeling, maar ook met de juristen en de afdeling HRM en personeelsaangelegenheden. Digitale veiligheid is niet meer optioneel. De essentiële en belangrijke bedrijven zullen regelmatig actief worden gecontroleerd. De als belangrijk aangeduide bedrijven worden via steekproeven en na incidenten gecontroleerd. De controle van de toeleveranciers is een zaak voor de essentiële en belangrijke bedrijven zelf! Er is een risico op boetes als er in de keten onder hen iets fout gaat.

Aantonen wat je hebt gedaan en hoe

Zodra de exacte Nederlandse wetgeving bekend is zullen we meer informatie gaan toevoegen. Welke ondersteuning we gaan leveren zullen we nog gaan afspreken met de betrokken stakeholders.

* De Wbni (Wet Beveiliging Netwerk- en Informatiesystemen) is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn (in Europa NIS genoemd). Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen.

Schrijf je in voor de gratis NIS2 nieuwsbrief

Blijf op de hoogte en mis niets over NIS2

Disclaimer

Nog niet alle informatie over NIS2 (Wbni) is definitief. De Europese NIS2-richtlijn is vanaf 10 november 2022 aangenomen door het Europees Parlement en zal normaal gezien 15 december worden bekrachtigd door de Europese Raad. Daarna moet de Nederlandse wetgever nog de Nederlandse versie  maken en publiceren. Die is nog niet beschikbaar. De informatie stellen we al wel vast beschikbaar zodat bedrijven weten dat de wet eraan komt. Dat biedt de mogelijkheid nu alvast na te denken over wie wat moet gaan doen.   

De Wbni en straks NIS2 is een uitgebreide en gecompliceerde wettekst. De informatie op dit platform is een sterk gecomprimeerde vereenvoudigde uitleg en interpretatie hiervan. Wij nemen de grootst mogelijke zorgvuldigheid in acht bij de samenstelling en bij het onderhoud van op de website www.samendigitaalveilig.nl verstrekte informatie, maar wij kunnen niet garanderen dat deze informatie altijd volledig juist, compleet en actueel is. De informatie verstrekt op en via onze website is dan ook uitsluitend bedoeld als algemene informatie en hier kunnen verder geen rechten aan worden ontleend.

De inhoud van de website www.samendigitaalveilig.nl kun je gebruiken om een beter beeld te krijgen van de komende cybersecurity-regelgeving en kan helpen bij het vormgeven en uitvoeren van je werkzaamheden. De informatie kan niet worden opgevat als een concreet juridisch advies. Leidend blijft de officiële wettekst van de Wbni en de aanvullingen die er vanuit NIS2 aankomen.