NIS2 - wat moet ik ermee?
Het lijkt wel of er elk jaar weer een wet bijkomt die ondernemers verplicht een hoop geld uit te geven. Wat is NIS2 nu precies en hoe kunnen we het behapbaar houden?
Voor veel mensen is het een ver-van-mijn-bed show, maar de overheid is druk bezig met het ontwikkelen van een nieuwe Cybersecurity wet, en de kans bestaat dat ook jij er mee te maken krijgt. Maar geen nood - er zijn makkelijke oplossingen.
Wat is NIS2 eigenlijk?
NIS2 is een Europese richtlijn die de digitale weerbaarheid van organisaties moet versterken. Zeker met grote missers als bij Odido volop in het nieuws is dit een hot topic. In Nederland wordt die richtlijn vertaald naar de Cyberbeveiligingswet (Cbw). Het idee erachter is simpel: we zijn als maatschappij zo afhankelijk geworden van digitale systemen dat we daar betere afspraken over moeten maken. En dan niet alleen voor banken en energiebedrijven, maar ook voor een veel bredere groep organisaties. Het doel is om de risico’s te beheersen en incidenten te voorkomen, maar ook de gevolgen van incidenten te beperken door daar van tevoren al op voorbereid te zijn.
De eerste versie van NIS gold vooral voor grote spelers in vitale sectoren. NIS2 trekt dat veel breder. En dat is precies waar het voor veel MKB-bedrijven opeens toch ook relevant wordt.
Val jij eronder?
De wet maakt onderscheid tussen “essentiële” en “belangrijke” entiteiten. Dat klinkt abstract, maar het komt erop neer dat je er waarschijnlijk mee te maken krijgt als je bedrijf meer dan 50 medewerkers heeft en actief is in een van de aangewezen sectoren. Denk aan: ICT-dienstverlening, maakindustrie, transport, gezondheidszorg, afvalbeheer, voedselproductie, en nog een hele lijst meer.
Maar ook als je daar niet direct onder valt, kan het je raken. Grotere bedrijven die wél onder de wet vallen, moeten namelijk hun hele toeleveringsketen meenemen in hun beveiligingsbeleid. Als jij levert aan zo’n partij, gaan er dus ook eisen aan jou gesteld worden.
Dus ja, ook als je denkt “wij zijn maar een klein bedrijf”, het kan zomaar zijn dat dit ook voor jou gaat spelen. En het grootste probleem - je bent als directeur persoonlijk aansprakelijk voor de gevolgen als het niet geregeld is en fout gaat, en de boetes kunnen behoorlijk oplopen.
Wat wordt er dan verwacht?
De wet beschrijft tien zorgplichtmaatregelen waar je als organisatie aan moet voldoen. Dat gaat van het maken van een risicoanalyse en het opstellen van incidentresponsplannen tot het inrichten van toegangsbeheer en het borgen van bedrijfscontinuïteit.
In de praktijk betekent dit dat je een Information Security Management System (ISMS) moet opzetten. Klinkt ingewikkeld, maar het is eigenlijk een gestructureerde manier om vast te leggen hoe je omgaat met informatiebeveiliging. Welke risico’s loop je? Welke maatregelen neem je? Wie is waarvoor verantwoordelijk?
Voor bedrijven die al met ISO 27001, DORA of NEN7510 werken, is er veel overlap. Maar voor organisaties die hier nog niet mee bezig zijn, kan het voelen als een flinke berg werk.
Op welke termijn?
De Europese deadline voor implementatie was oorspronkelijk oktober 2024, maar de Nederlandse wetgeving loopt daar wat op achter. De exacte inhoud wordt op dit moment bepaald door de Tweede Kamer. Mijn advies: wacht niet tot de wet ingaat, maar begin nu vast met je voorbereiden. Niet omdat je er bang voor moet zijn, maar omdat het gewoon verstandig is. Goede informatiebeveiliging is sowieso waardevol - de wet geeft je nu een extra duwtje in de rug om er serieus mee aan de slag te gaan.
Het hoeft niet ingewikkeld te zijn
Omdat ik zelf uit ervaring maar al te goed weet dat je als MKB-er altijd probeert met minimale inspanning dit risico af te dekken zijn wij bezig met de ontwikkeling van een tool speciaal voor jou - een platform dat je stap voor stap door het proces heen leidt, zonder dat je zelf diepgaande kennis van informatiebeveiliging hoeft te hebben. Waarbij het zware voorwerk — beleidsdocumenten, risicoanalyses, maatregelen — al voor je is gedaan. Zodat jij je kunt concentreren op waar je goed in bent: je bedrijf runnen. Daarnaast hebben wij zelf een uitgebreid ISMS, dus alle ervaring in huis om te helpen met keuzes die gemaakt moeten worden.
Wat kun je nu al doen?
Mijn tip: maak het klein en concreet. Je hoeft niet morgen een volledig ISMS te hebben. Maar je kunt wel vandaag starten met nadenken over de basis. Welke systemen zijn kritiek voor je bedrijf? Wat zou er gebeuren als die een dag uitvallen? Wie in je team is verantwoordelijk voor beveiliging? Welke klantgegevens gaan er door jouw organisatie heen?
Door die vragen te stellen, zet je al de eerste stappen. En dat is precies waar het begint. Uiteraard kom ik graag vrijblijvend met je meedenken.
meer informatie: info@42.nl
