De cyberbeveiligingswet is een feit - 15 augustus gaat hij al in!

Ongemerkt is de Cyberbeveiligingswet dan toch door de Eerste Kamer goedgekeurd. Voor veel bedrijven zal deze extra berg werk als een verrassing komen. Maar geen nood - je kunt het jezelf makkelijk maken!

Deel
De cyberbeveiligingswet is een feit - 15 augustus gaat hij al in!
Tienduizenden bedrijven moeten vliegensvlug aan de bak om de deadline te halen.

In 2022 heeft de Europese Unie bepaald dat het niveau van cyberbeveiliging in alle lidstaten omhoog moet, en heeft dit vastgelegd in de NIS2-richtlijn. De originele deadline voor alle lidstaten om hier aan te voldoen was oktober 2024, maar door veel discussie over de invulling is het in Nederland pas deze week door de Eerste Kamer goedgekeurd. De deadline is echter wel al 15 augustus. Dat maakt dat tienduizenden bedrijven onmiddellijk aan de slag moeten. In Nederland is de NIS2-richtlijn uitgewerkt in de Cyberbeveiligingswet. Het idee hiervan is dat de digitale weerbaarheid omhoog gaat en het risico op uitval van diensten kleiner wordt. Denk hierbij aan het uitvallen van een luchthaven, ziekenhuis, bank, datacenter, maar ook voedselproductie of waterlevering.

Tot zover klinkt dit als een logisch verhaal, en veel grote organisaties zullen hier al volop mee bezig zijn. Er zijn echter ook tienduizenden bedrijven die hier ook onder gaan vallen, die zich hier nog helemaal niet van bewust zijn. Ben jij bijvoorbeeld een bedrijf in de levensmiddelensector en heb je een omzet van boven de 10 miljoen? Dan behoor je ook tot de belangrijke sectoren en moet je dus aan de wet voldoen. Maar ook bepaalde onderwijsinstellingen, IT-bedrijven, en kleinere bedrijven die in de keten vallen, moeten hieraan voldoen. In onderstaand overzicht zijn de sectoren te vinden. Links de sectoren die proactief getoetst gaan worden, rechts de belangrijke sectoren die in geval van problemen getoetst gaan worden (reactief).

Aangezien ik zelf ondernemer ben geweest, weet ik dat de meeste ondernemers nu denken - ah, ik zit rechts, dan valt het allemaal wel mee. Probleem is echter dat je als bestuurder of directie persoonlijk aansprakelijk bent volgens de wet, en het niet weten is hier geen excuus. Boetes kunnen ook behoorlijk oplopen. Ook als je in de toeleveringsketen zit van een bedrijf dat hieronder valt, kan het zo zijn dat je ermee aan de slag moet.

Maar er is ook goed nieuws. Uiteindelijk heb je er namelijk zelf profijt van, en voldoen aan de wet hoeft ook weer niet zo moeilijk te zijn. Het is een kader, maar de exacte invulling mag je nog voor een groot deel zelf bepalen. Het is een kwestie van alle stappen doorlopen en het dwingt je na te denken over hoe jij het hebt geregeld binnen je bedrijf. Voor veel bedrijven zal het een openbaring zijn van zaken die niet of nauwelijks geregeld zijn. Zo zien we nu al dat ook bedrijven die er niet onder hoeven te vallen toch besluiten deze exercitie te doen om zo aan alle stakeholders te kunnen laten zien dat er echt alles aan gedaan wordt om cyberproblemen te voorkomen.

Met Normatik hebben wij een simpele tool ontwikkeld waar je alles in vast kunt leggen. Je doorloopt simpelweg alle plichten en documenteert hoe het geregeld is. Dan kom je vanzelf tegen wat er nog niet geregeld is. Met onze jarenlange ISO27001-ervaring, inclusief het doen van interne audits, kunnen wij advies geven over hoe bepaalde dingen het beste geregeld kunnen worden. Ook kunnen we controleren dat alles goed afgedekt is. Zelfs de cyberhygiënetraining voor de directie kunnen we verzorgen.

Daarnaast zijn we bezig met het bouwen van een AI-onderdeel waarbij je jouw bestaande documenten simpelweg in je favoriete AI-tool gooit, waarna de informatie wordt beoordeeld en op de juiste plek in Normatik ingevuld wordt.

Benieuwd of je onder de Cyberbeveiligingswet valt? Doe de check hier. Is het antwoord ja, maar heb je geen idee waar te beginnen? Stuur me een bericht en ik denk graag met je mee. Want voor je het weet is het 15 augustus.