Welke impact heeft NIS2, de nieuwe cybersecuritywet, op MKB-bedrijven in de maakindustrie? Dat wordt ons bij SBL Cyber Monitoring regelmatig gevraagd. Het kortste antwoord is: dit verschilt per bedrijf, maar je gaat er zeker mee te maken krijgen.
In dit artikel vatten we daarom samen wat er van bedrijven wordt verwacht onder NIS2 , wie aan welke normen moeten voldoen, en welke stappen je kan volgen om je bedrijf klaar te maken voor NIS2.
NIS2 staat voor “Network and Information Systems,’ een EU-richtlijn voor cyberbeveiliging. NIS2 is een voortzetting en uitbreiding van de eerdere richtlijn. Het is een Europese richtlijn, wat betekent dat landen die zelf moeten implementeren in nationale wetgeving.
De richtlijn werd in januari 2023 aangenomen, en landen krijgen 21 maanden om deze om te zetten in landelijke wetgeving. De precieze implementatie verschilt dus van land tot land, maar de wet heeft overal als doel om de handhavingsvereisten voor cyberbeveiliging van vitale en essentiële sectoren te verhogen.
Het grote verschil tussen NIS1 en NIS2 is dat er nu strengere eisen worden gesteld aan meer bedrijven en instanties. Het aantal sectoren dat wordt gezien als essentieel voor de economie is namelijk uitgebreid, en ook moeten kleinere organisaties nu meedoen.
Samengevat zijn dit de grootste veranderingen:
De eerste criteria voor bedrijven is in welke sector je valt. Onder NIS vielen al vitale bedrijven in de volgende sectoren: energie, transport, infrastructuur, financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, afvalwater, overheidsdiensten, ruimtevaart, beheerders van ICT diensten en het bankwezen.
Onder NIS2 zijn daar “andere kritieke” sectoren aan toegevoegd: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging / manufacturing. De maakindustrie valt dus in deze laatste categorie.
De tweede vraag is of jouw bedrijf direct onder de NIS2-richtlijn valt. Grote bedrijven (+250 werknemers OF met een jaaromzet van +€50 miljoen en een balanstotaal van +€43 miljoen) en middelgrote bedrijven (+50 werknemers OF een jaaromzet van +€10 miljoen en een balanstotaal van +€10 miljoen) vallen onder de wet.
Het belangrijk om op te merken dat een van de maatregelen die wordt verwacht van deze bedrijven is dat zij zorg dragen voor de beveiliging van de toeleveringsketen. Het kan immers zo zijn dat een leverancier niet levert als gevolg van een digitale aanval, of erger, dat zij zijn gehackt en ook toegang hebben tot digitale systemen van grotere bedrijven.
In principe betekent dit dat van alle bedrijven in de maakindustrie verwacht wordt dat zij cybersecurity serieuzer gaan nemen. Dit kan zijn omdat ze direct onder de NIS2-richtlijn vallen, of omdat klanten hogere eisen gaan stellen.
“Ik denk dat veel bedrijven zich nog niet beseffen dat cybersecurity een steeds grotere rol gaat spelen. Dat de grote drijfveer gaat komen vanuit grote bedrijven die van hun leveranciers verwachten dat ze dat op orde hebben.”
Stef Liethoff, oprichter SBL Cyber Monitoring
Valt jouw bedrijf direct onder de NIS2-richtlijn? Dan heb je de volgende verplichtingen:
De zorgplicht stelt wat bedrijven moeten doen aan hun cyberbeveiliging. De maatregelen die de Digital Trust Center noemt zijn:
Bestuurders aansprakelijk gehouden worden indien de organisatie zich niet aan de beviligingsplicht houdt, en dat kan resulteren in een boete van 2% van de jaaromzet. Deze boete is vastgesteld op 2%, een percentage dat vaak door ransomware-aanvallers wordt geëist. Bedrijven zullen binnenkort voor een keuze staan: betalen ze dit bedrag aan ransomware-aanvallers, als boete aan de overheid, of investeren ze het in versterking van hun cybersecurity?
Wanneer jouw bedrijf niet direct onder de NIS2-wetgeving valt, zal de boete niet direct een risico zijn maar dat is het natuurlijk wel voor andere bedrijven aan wie jij jouw producten levert. Omdat zij verantwoordelijk worden gesteld voor de keten, zullen zij hogere eisen stellen of zelfs op zoek gaan naar een andere leverancier die zijn zaken wel op orde heeft.
Via Ondernemend Nederland, dat valt onder de Rijksinspectie Digitale Infrastructuur (RDI) kan je een zelfevaluatie doen om te zien welke verplichtingen jouw bedrijf heeft onder NIS2. In 40 vragen loopt deze quickscan je door de strekking van de wetgeving heen. Daarbij wordt er gekeken naar de huidige beveiliging van je netwerk- en informatiesystemen. Je moet daarbij zowel de beveiliging van je IT- als je OT-netwerk in acht nemen. Deze zelfscan is een goed begin om een idee te hebben van de criteria van de wet, al is het taalgebruik soms niet altijd even duidelijk.
Er staan veel eisen in NIS2, maar welke boodschap moet je nu echt onthouden?
Als je wilt bespreken wat deze wetgeving voor jou betekent, neem dan contact op met SBL Cyber Monitoring voor een vrijblijvend gesprek.