Het primaire doel van de nieuwe cybersecurity-wet NIS2 is het verbeteren van de weerbaarheid van organisaties behorend tot de ‘kritieke infrastructuur’, en daarmee de beschikbaarheid van essentiële diensten. De wet geldt voor achttien sectoren, maar kent ook een serieuze uitwerking op andere organisaties in de keten. Het bedrijfsleven (ook het mkb) moet aan de slag.
Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. De richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS1 was alleen toegeschreven op essentiële dienstverleningen zoals een energievoorziening of een waterschap. Kortom, organisaties waarbij het een grote maatschappelijke impact zou hebben als ze gehackt zouden worden.
De NIS2 is nu de opvolger. De scope is aanzienlijk uitgebreid. De richtlijn moet dan ook veel breder onze samenleving beschermen en weerbaarder maken. Waar wetgeving over het algemeen gesproken nog weleens hoog over wil zijn, is deze wet op punten zeer specifiek. Uiteindelijk is het de bedoeling om aan de hand van deze wet de cyberveiligheid in Europa op een hoger niveau te krijgen.
Vitaal
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de sectoren. De sectoren zijn onderverdeeld in twee categorieën: essentiële en belangrijke diensten. Onder essentiële diensten vallen organisaties die van vitaal belang zijn voor de maatschappij en waarvan een onderbreking ernstige gevolgen kan hebben voor de veiligheid, economie, volksgezondheid of het milieu.
Belangrijke entiteiten zijn van belang voor de economie en de samenleving, maar waarvan een onderbreking niet direct leidt tot ernstige gevolgen voor de veiligheid, de economie, de volksgezondheid of het milieu.
Ook wordt er onderscheid gemaakt tussen grote en middelgrote organisaties. Grote organisaties hebben meer dan 250 werknemers, een netto omzet van meer dan vijftig miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Middelgrote organisaties hebben minimaal vijftig werknemers en een jaaromzet of balanstotaal van meer dan tien miljoen euro. Toewijzing aan een van de achttien gedefinieerde sectoren zal plaatsvinden op basis van de wetgeving.
We hebben tot 18 oktober 2024 om deze wetgeving te verankeren in de organisatie. Anderhalf jaar klinkt lang, maar het is ook veel werk om aan deze richtlijn te voldoen. Verkijk je daar niet op. Zzp’ers en micro-ondernemingen zijn vrijgesteld van de richtlijn. Je zou kunnen denken dat, als je niet tot één van de achttien sectoren behoort, je niets hoeft te doen. Maar mocht je een klant hebben uit één van deze sectoren waar je een dienst of product aan levert, dan gaat deze naar alle waarschijnlijkheid eisen stellen aan jouw organisatie en dienstverlening.
Reikwijdte
Daarmee is de reikwijdte van deze richtlijn groter dan je in eerste instantie zou denken. De organisaties die vallen onder de NIS2 moeten hun keten beoordelen op cybersecurity. Zijn hun leveranciers veilig genoeg om te kunnen blijven leveren? ASML bijvoorbeeld valt sowieso al onder de essentiële bedrijven. Die chipmachinefabrikant is voor zijn toeleveranciers een campagne begonnen om hun veiligheid op een hoger niveau te krijgen.
Hoe kunnen organisaties voldoen aan de NIS2-richtlijn? Op punten is de wet zeer specifiek. Dat is bijvoorbeeld het geval bij artikel 21. Daar staat concreet wat je moet doen. Allereerst gaat dat over een risico-inventarisatie van je primaire bedrijfsprocessen. Over welke netwerken en infrastructuren lopen deze en welk risico loop je daarbij? Daarnaast: welke technische en organisatorische maatregelen heb je genomen om de veiligheid te bewaken? Ook belangrijk zijn procedures voor het reageren op cybersecurity-incidenten, wat je hebt geregeld aan gegevensbeveiliging, het beveiligen van kritieke infrastructuren, het aanstellen van verantwoordelijken, de governance, het testen van maatregelen en procedures en het rapporteren aan de bevoegde autoriteiten.
Boetes
Wie NIS2 naleeft, werkt op een structurele manier aan zijn cybersecurity. Net zoals je dat bij ISO-27001 ook zou doen. Organisaties die niet voldoen aan de NIS2-richtlijn, kunnen hoge boetes tegemoetzien. Bij een essentiële organisatie kan de boete oplopen tot twee procent van de omzet of tien miljoen euro. Bij een belangrijke organisatie is dat 1,4 procent van de omzet of zeven miljoen euro. Je wordt wellicht niet bij de eerste de beste gelegenheid beboet, maar wel als je er structureel een potje van maakt. Daarnaast kan de verplichting tot openbaarmaking leiden tot reputatieschade. Als je niet aan de vereisten voldoet, kunnen de autoriteiten je bedrijfsactiviteiten stilleggen. En je wordt aansprakelijk gesteld voor eventuele schade als gevolg van inbreuken. Als laatste kun je als directie/eindverantwoordelijke zelfs uit de bestuurlijke functie worden ontheven.
Ga na of jouw organisatie direct onder NIS2 valt. Is dat niet zo, ga dan na of je indirect door deze richtlijn wordt beïnvloed. Is dat zo, pak dan allereerst de stappen op uit artikel 21 die je relatief gemakkelijk kunt doorvoeren. Kortom, ga proactief met deze NIS2-richtlijn om. Doet dat primair voor de bescherming en continuïteit van je organisatie en zie de wet als een stok achter de deur.
