EN

Welke impact heeft NIS2 op MKB-bedrijven in de maakindustrie?

Datum: 08-10-2024

Welke impact heeft NIS2, de nieuwe cybersecuritywet, op MKB-bedrijven in de maakindustrie? Dat wordt ons bij SBL Cyber Monitoring regelmatig gevraagd. Het kortste antwoord is: dit verschilt per bedrijf, maar je gaat er zeker mee te maken krijgen.

In dit artikel vatten we daarom samen wat er van bedrijven wordt verwacht onder NIS2 , wie aan welke normen moeten voldoen, en welke stappen je kan volgen om je bedrijf klaar te maken voor NIS2.

Wat is NIS2? 

NIS2 staat voor “Network and Information Systems,’ een EU-richtlijn voor cyberbeveiliging. NIS2 is een voortzetting en uitbreiding van de eerdere richtlijn. Het is een Europese richtlijn, wat betekent dat landen die zelf moeten implementeren in nationale wetgeving.  

De richtlijn werd in januari 2023 aangenomen, en landen krijgen 21 maanden om deze om te zetten in landelijke wetgeving. De precieze implementatie verschilt dus van land tot land, maar de wet heeft overal als doel om de handhavingsvereisten voor cyberbeveiliging van vitale en essentiële sectoren te verhogen. 

Grote verschillen tussen NIS1 en NIS2

Het grote verschil tussen NIS1 en NIS2 is dat er nu strengere eisen worden gesteld aan meer bedrijven en instanties. Het aantal sectoren dat wordt gezien als essentieel voor de economie is namelijk uitgebreid, en ook moeten kleinere organisaties nu meedoen. 

Samengevat zijn dit de grootste veranderingen: 

  • NIS2 omvat meer sectoren dan NIS2, waaronder post, afvalverwerking, voedsel, digitale infrastructuur, chemie, gezondheid, ruimtevaart en defensie.
  • Kleine- en middelgrote organisaties in de betreffende sectoren vallen nu ook onder de wetgeving, terwijl dat eerder alleen voor grote bedrijven het geval was. 
  • Cyberincidenten moesten al worden gemeld, maar ook die eis is uitgebreid. Er moet nu sneller melding worden gemaakt van incidenten, en er vallen meer soorten incidenten onder deze meldplicht. 
  • Er zijn hogere boetes geïntroduceerd dan onder NIS1 het geval was. 
  • NIS2 verplicht organisaties om rekening te houden met cyberrisico’s van hun toeleveringsketen. 
  • Belangrijk voor de maakindustrie: operationele omgevingen (OT) vallen nu ook onder de NIS2-richtlijn. Dat betekent dat organisaties ook de veiligheidsrisico’s hiervan moeten onderzoeken, en ook dat incidenten gerapporteerd moeten worden. 
     

Is NIS2 van toepassing op MKB-bedrijven in de maakindustrie?

De eerste criteria voor bedrijven is in welke sector je valt. Onder NIS vielen al vitale bedrijven in de volgende sectoren: energie, transport, infrastructuur, financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, ruimtevaart, beheerders van ICT diensten en het bankwezen.

Onder NIS2 zijn daar “andere kritieke” sectoren aan toegevoegd: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging / manufacturing. De maakindustrie valt dus in deze laatste categorie. 

De tweede vraag is of jouw bedrijf direct onder de NIS2-richtlijn valt. Grote bedrijven (+250 werknemers OF met een jaaromzet van +€50 miljoen en een balanstotaal van +€43 miljoen) en middelgrote bedrijven (+50 werknemers OF een jaaromzet van +€10 miljoen en een balanstotaal van +€10 miljoen) vallen onder de wet. 

Het belangrijk om op te merken dat een van de maatregelen die wordt verwacht van deze bedrijven is dat zij zorg dragen voor de beveiliging van de toeleveringsketen. Het kan immers zo zijn dat een leverancier niet levert als gevolg van een digitale aanval, of erger, dat zij zijn gehackt en ook toegang hebben tot digitale systemen van grotere bedrijven. 

In principe betekent dit dat van alle bedrijven in de maakindustrie verwacht wordt dat zij cybersecurity serieuzer gaan nemen. Dit kan zijn omdat ze direct onder de NIS2-richtlijn vallen, of omdat klanten hogere eisen gaan stellen.
 


“Ik denk dat veel bedrijven zich nog niet beseffen dat cybersecurity een steeds grotere rol gaat spelen. Dat de grote drijfveer gaat komen vanuit grote bedrijven die van hun leveranciers verwachten dat ze dat op orde hebben.”

Stef Liethoff, oprichter SBL Cyber Monitoring
 


 

Welke verplichten hebben bedrijven die vallen onder NIS2? 

Valt jouw bedrijf direct onder de NIS2-richtlijn? Dan heb je de volgende verplichtingen:

  • Registratieplicht: Organisaties die onder de NIS2-richtlijn en Cyberbeveiligingswet vallen, moeten zich registreren in het entiteitenregister. Dit zorgt voor een EU-breed overzicht van NIS2-entiteiten. Het Nationaal Cyber Security Centrum (NCSC) ontwikkelt een online platform voor zelfregistratie.
  • Zorgplicht: Beide richtlijnen verplichten organisaties tot het uitvoeren van een risicobeoordeling en het nemen van passende beschermingsmaatregelen. NIS2 richt zich op digitale risico's, CER op fysieke risico's. Bestuursleden moeten de maatregelen goedkeuren, toezicht houden op de uitvoering en een relevante opleiding volgen.
  • Meldplicht: Entiteiten moeten binnen 24 uur incidenten melden die de essentiële dienstverlening aanzienlijk (kunnen) verstoren. Cyberincidenten worden ook bij het CSIRT gemeld voor mogelijke bijstand. Het NCSC richt een centraal meldpunt in. Meldingswaardigheid hangt af van factoren zoals aantal getroffen personen, duur van de verstoring en mogelijke financiële impact.
  • Toezicht: Organisaties onder deze richtlijnen komen onder toezicht te staan. Hierbij wordt gecontroleerd op naleving van verplichtingen zoals de zorg- en meldplicht. De toewijzing van sectoren aan specifieke toezichthouders is nog in ontwikkeling.


De zorgplicht stelt wat bedrijven moeten doen aan hun cyberbeveiliging. De maatregelen die de Digital Trust Center noemt zijn: 

  • Maatregel 1: Een risicoanalyse en beveiliging van informatiesystemen. 
  • Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets. 
  • Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningsplannen. 
  • Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging. 
  • Maatregel 6: Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden. 
  • Maatregel 8: Beleid en procedures over het gebruik van cryptografie en encryptie. 
  • Maatregel 9: Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen. 
  • Maatregel 10: Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

 

Wat gebeurt er als jouw bedrijf niet aan NIS2 voldoet? 

Bestuurders aansprakelijk gehouden worden indien de organisatie zich niet aan de beviligingsplicht houdt, en dat kan resulteren in een boete van 2% van de jaaromzet. Deze boete is vastgesteld op 2%, een percentage dat vaak door ransomware-aanvallers wordt geëist. Bedrijven zullen binnenkort voor een keuze staan: betalen ze dit bedrag aan ransomware-aanvallers, als boete aan de overheid, of investeren ze het in versterking van hun cybersecurity?

Wanneer jouw bedrijf niet direct onder de NIS2-wetgeving valt, zal de boete niet direct een risico zijn maar dat is het natuurlijk wel voor andere bedrijven aan wie jij jouw producten levert. Omdat zij verantwoordelijk worden gesteld voor de keten, zullen zij hogere eisen stellen of zelfs op zoek gaan naar een andere leverancier die zijn zaken wel op orde heeft. 

Hoe weet jij of jouw bedrijf onder NIS2 valt? 

Via Ondernemend Nederland, dat valt onder de Rijksinspectie Digitale Infrastructuur (RDI) kan je een zelfevaluatie doen om te zien welke verplichtingen jouw bedrijf heeft onder NIS2. In 40 vragen loopt deze quickscan je door de strekking van de wetgeving heen. Daarbij wordt er gekeken naar de huidige beveiliging van je netwerk- en informatiesystemen. Je moet daarbij zowel de beveiliging van je IT- als je OT-netwerk in acht nemen. Deze zelfscan is een goed begin om een idee te hebben van de criteria van de wet, al is het taalgebruik soms niet altijd even duidelijk. 

Samengevat: NIS2 voor de maakindustrie

Er staan veel eisen in NIS2, maar welke boodschap moet je nu echt onthouden? 

  1. NIS2 houdt bedrijven die onder de wet vallen verantwoordelijk voor hun leveranciersketen. Zelfs als je niet direct onder de wetgeving valt, dan zal je dus kopers moeten kunnen laten zien wat je aan cyberbeveiliging hebt gedaan.
  2. Bestuurders worden nu verantwoordelijk gehouden voor de cyberweerbaarheid van het bedrijf. Hen wordt verplicht een opleiding te volgen zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren. Het beheersen van deze risico’s wordt onder de wetgeving expliciet genoemd als taak van deze bestuurders.
  3. ​Naast de IT-omgeving worden nu ook de operationele omgevingen (OT) meegenomen in NIS2. 

Als je wilt bespreken wat deze wetgeving voor jou betekent, neem dan contact op met SBL Cyber Monitoring voor een vrijblijvend gesprek. 
 


Welke impact heeft NIS2 op MKB-bedrijven in de maakindustrie?