Is jouw bedrijf klaar voor de nieuwe cyberbeveiligingswet?
De klok tikt. De deadline voor de wetgeving rondom NIS2 was 17 oktober 2024, maar deze deadline is verschoven. Voor sommigen misschien ‘geluk’, maar er is geen tijd meer te verliezen. De verwachting is dat deze wet medio 2025 alsnog van kracht gaat. Dat lijkt ver weg, maar geloof ons, voordat je het weet is het zover. Als je nu niet in actie komt, kun je voor vervelende verrassingen komen te staan: sancties, boetes, en in het slechtste geval, een cyberaanval die je bedrijf platlegt. De vraag is dus: Ben jij al klaar voor de nieuwe cybersecuritywet?
In deze blog ontdek je niet alleen wat NIS2 inhoudt (ja, we hebben het hier over meer dan een saai regelboek), maar vooral hoe je je organisatie nú kunt voorbereiden. Want eerlijk, iedereen roept al een tijdje over de NIS2, maar nu is het écht tijd voor actie. Geen woorden, maar daden. Let’s go!
NIS2: Wat was het ook alweer?
Moet ik hier iets mee?
Wat zijn de spelregels?
Welke stappen moet ik zetten?
Waarom nú actie ondernemen?
Wat is NIS2?
NIS2, dat klinkt misschien als een nieuwe computerspelletje, maar dat is het niet. Deze Europese richtlijn is hier om bedrijven wakker te schudden als het gaat om cyberveiligheid. We hebben het over organisaties waarvan uitval rampzalige gevolgen zou hebben voor de samenleving. Denk aan energiebedrijven, ziekenhuizen of zelfs de drinkwatervoorziening. Stel je voor dat een van die diensten platligt door een cyberaanval – chaos! NIS2 is er om die cruciale sectoren bewust te maken van de gevaren en stelt daar tegenover eisen aan de cyberveiligheid. Maar moet jij er ook iets mee?
Valt jouw organisatie onder NIS2?
Als je in één van de volgende sectoren opereert, val je vrijwel zeker onder de NIS2-richtlijn en dus de Nederlandse Cyberbeveiligingswet(cbw):
Zeer kritieke sectoren:
|
Transport ​ |
|
Bankwezen ​ |
|
Gezondheidszorg ​ |
|
Drinkwater ​ |
|
ICT-dienstverleners ​ |
|
Digitale infrastructuur​ |
|
Overheidsdiensten ​ |
Kritieke sectoren:
|
Post- en koeriersdiensten ​ |
|
Levensmiddelen ​ |
|
Chemische stoffen ​ |
|
Onderzoek en productie-industrie ​ |
Check hier of jouw organisatie aan de NIS2-richtlijn moet voldoen.
Valt jouw organisatie onder de NIS2? Dan is het essentieel om te weten dat het niet voldoen aan de eisen kan leiden tot zware sancties.
Wat betekent dit voor jouw bedrijf?
De nieuwe wet brengt serieuze verplichtingen met zich mee. Hier zijn de vier belangrijkste pijlers van NIS2 waar je op voorbereid moet zijn:
1 |
Registratieplicht
Organisaties moeten zich registreren in een entiteitenregister dat beheerd wordt door het Nationaal Cyber Security Centrum (NCSC).
|
2 |
Zorgplicht
Organisaties zijn verplicht een risicoanalyse uit te voeren en passende maatregelen te nemen om hun systemen te beveiligen. Ook bestuurders en directieleden moeten getraind worden in cybersecuritybeheer.
|
3 |
Meldplicht
Significante cyberincidenten moeten binnen 24 uur worden gemeld aan het CSIRT. Volledige rapportage moet binnen 72 uur plaatsvinden, met een eindrapport na een maand. Een “significant incident” is niet zomaar een glitch in je systeem. We hebben het over serieuze verstoringen van je diensten die schade toebrengen aan je organisatie of anderen. Denk aan: je diensten liggen plat, je klantgegevens zijn gestolen, of je systeem is gehackt.
|
4 |
Toezicht en handhaving
Organisaties worden gecontroleerd op naleving van de zorg- en meldplichten. Bij niet-naleving kunnen sancties volgen, inclusief boetes of persoonlijke aansprakelijkheid voor bestuurders.
|
Wat moet je doen om te voldoen aan de NIS2?
Veel bedrijven realiseren zich niet dat de zorgplicht meer omvat dan alleen een goede firewall of virusscanner installeren. Het gaat om alles: van bewustzijn onder werknemers tot het betrekken van je bestuur. Mis je deze cruciale stappen, dan blijf je kwetsbaar. En kwetsbaarheid in cyberland betekent problemen.
Om compliant te zijn, moet je bedrijf aan tien maatregelen voldoen. Dit zijn de tien maatregelen uit de NIS2 om de veiligheid van je netwerk- en informatiesystemen te waarborgen:
|
Maatregel 1 Een risicoanalyse en beveiliging van informatiesystemen; ​ |
|
Maatregel 2 Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets; ​ |
|
Maatregel 3 Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen; ​ |
|
Maatregel 4 Incidentenbehandeling; ​ |
|
Maatregel 5 Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging; ​ |
|
Maatregel 6 Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden; ​ |
|
Maatregel 7 Beveiliging van de toeleveranciersketen; ​ |
|
Maatregel 8 Beleid en procedures over het gebruik van cryptografie en encryptie; ​ |
|
Maatregel 9 Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen; ​ |
|
Maatregel 10 Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen. ​ |
Hoe bereid je je voor?
Nu je weet wat NIS2 van jou verwacht, is de vraag: hoe ga je dit aanpakken? Hier zijn een paar essentiële stappen om je bedrijf klaar te stomen voor de NIS2-wetgeving:
|
Uitvoeren van een risicoanalyse: Je moet weten waar je zwakke punten zitten voordat je ze kunt fixen. ​ |
|
Beveiliging op orde krijgen: Dit gaat niet alleen over technologie, maar ook over beleid en je mensen. ​ |
|
Incidentmanagement opzetten: Wees voorbereid op cyberaanvallen en zorg dat je weet wat je doet bij een aanval, zodat je niet in paniek raakt. Zorg voor een back-up plan ​ |
|
Regelmatige audits: Test, test, en test nog een keer of je maatregelen echt werken. ​ |
|
Communicatieplan: Wie bel je als het misgaat? Zorg dat iedereen weet wat hij moet doen bij een incident. ​ |
En het belangrijkste: begin nu. Wachten tot 2025 is vragen om problemen. Actie ondernemen betekent dat je straks rustig kunt slapen, wetende dat je klaar bent voor wat komen gaat.
Want, waarom nú actie ondernemen?
Wachten tot 2025 om te voldoen aan de NIS2-richtlijn is hetzelfde als wachten tot de regen begint voordat je een paraplu koopt. Niet slim, en het gaat je sowieso natte voeten opleveren. Maar hier komt het goede nieuws: als je nú actie onderneemt, heb je een flinke voorsprong op de concurrentie.
Bedrijven die nu stappen zetten, profiteren straks. Waarom? Omdat NIS2 niet alleen over de naleving gaat, maar ook over vertrouwen. Klanten, partners en leveranciers willen zaken doen met een organisatie die zijn cyberveiligheid serieus neemt én omdat dit wordt geëist vanuit de ketenverantwoordelijkheid.
Laten we eerlijk zijn: cyberaanvallen zijn geen toekomstmuziek, ze gebeuren vandaag al. Zelfs als de NIS2-richtlijn er niet was, zou het nog steeds essentieel zijn om je systemen op orde te krijgen. Door nu actie te ondernemen, sla je twee vliegen in één klap. Niet alleen zorg je ervoor dat je straks helemaal compliant bent wanneer de wet in werking treedt, maar je bent ook nog beter beschermd tegen de cyberdreigingen die nu al realiteit zijn.
Klaar om die voorsprong te pakken?
Wij staan klaar om je te helpen. Of het nu gaat om risicobeoordelingen, incidentmanagement, of het trainen van je team in cybersecurity, wij hebben de expertise om jouw organisatie compliant én cyberveilig te maken. Samen zorgen we ervoor dat je niet alleen voldoet aan de wet, maar ook direct beschermd bent tegen de cyberdreigingen die nu al op de loer liggen.
Let’s begin!