Cybercrime incidenten zijn bijna dagelijks in het nieuws. Vaak gaat het om organisaties die slachtoffer zijn geworden van aanvallen met ransomware. Bestanden worden dan als het ware gegijzeld en tegen betaling krijg je weer toegang. De aangevallen organisatie ligt dan tijdelijk stil en staat voor het dilemma of ze de cybercriminelen geld moet betalen om de versleutelde bestanden terug te krijgen. Om nog maar te zwijgen over de herstelkosten en imagoschade. De incidenten die in het nieuws komen zijn slechts het spreekwoordelijke topje van de ijsberg.

Bescherming tegen cybercrime aanvallen is van belang voor grote bedrijven die over veel data beschikken, maar ook voor het MKB! Misschien denkt u als MKB-ondernemer ‘een cybersecurity incident overkomt mij niet of los ik wel op’, lees dan toch vooral even verder.

Nieuwe wetgeving: NIS2

Per 2023 is het inschatten of de belangrijkste cybersecurity risico’s voldoende zijn afgedekt niet langer alleen een ‘keuze’ van u als MKB-ondernemer zelf. Per vandaag, 16 januari 2023, is de tweede netwerk- en informatiebeveiligingsrichtlijn (NIS2) ingegaan binnen Europa. NIS staat voor netwerk- en informatiesystemen. NIS2 verhoogt de cybersecurity-eisen door heel Europa en merkt meer organisaties aan als essentieel bedrijf. Deze bedrijven moeten voldoen aan hogere eisen en krijgen meer hulp van de overheid, wanneer ze bijvoorbeeld getroffen worden. Ook zonder dat een incident is opgetreden kunt u onder NIS2 een boete krijgen als uw cybersecurity niet goed is geregeld.

Is NIS2 relevant voor uw onderneming?

Zoals gezegd is NIS2 de opvolger van de al geldende NIS regelgeving. MKB-ondernemers hebben hier wellicht nog nooit van gehoord, want de toepassing van NIS beperkt zich tot grote ondernemingen in vitale sectoren, zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. NIS2 heeft echter meer – véél meer – impact op het bedrijfsleven dan zijn voorganger, want het geldt voor meer sectoren. Oók voor het MKB en dus niet meer alleen voor grote bedrijven.

Daarom moet elk Nederlands bedrijf een serieuze inschatting moeten maken of NIS2 van toepassing is en de nodige cybersecurity maatregelen nemen. Het niet naleven betekent namelijk een risico op een forse boete en/ of op imagoschade.

Doe de NIS2 check in 3 stappen

Stap 1. Zoek uit of uw bedrijfsactiviteiten als ‘essentieel’ worden gezien

Voor NIS2 valt de definitie ‘essentiële activiteiten’ uiteen in acht sleutelsectoren, waarbij de grootte van de onderneming niet uitmaakt:

  1. transportsector;
  2. gezondheidszorg;
  3. bankensector;
  4. financiële markten;
  5. digitale infrastructuur;
  6. drinkwatervoorziening;
  7. rioolwaterafvoer;
  8. energievoorziening.

Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet. Dus ook lokale softwarebedrijven, Internet service providers, kleine fabrieken, bedrijven die te maken hebben met water of energie en kleine koeriersdiensten krijgen allemaal te maken met NIS2.

Stap 2. Ga na of u zaken doet met toeleveranciers of ketenpartners met essentiële activiteiten

NIS2 richt zich op de hele toevoerketen. Dat is logisch, want 97% van de cybersecurity problemen die bedrijven in 2021 ondervonden, waren afkomstig van lekken bij andere bedrijven. Ook bedrijven die zelf geen activiteiten ontplooien die zijn gedefinieerd als essentieel, maar wel zaken doen met partijen die dat doen, vallen nu onder de nieuwe richtlijn.

Het is daarom belangrijk om in kaart te brengen of uw ketenpartners wellicht ‘essentiële activiteiten’ uitvoeren. Simpel gezegd: levert u software aan een internet service provider of een groot ziekenhuis? Doet u zaken met een logistieke partner die ook medische apparatuur verscheept? Levert u hardware aan een kleine energieleverancier? In al die gevallen moet u compliant zijn met NIS2.

Stap 3. Controleer of de essentiële activiteiten ergens in de Europese Unie worden uitgevoerd

NIS2 kijkt niet naar waar een bedrijf is gevestigd, maar naar waar het zijn activiteiten uitvoert. In juridisch vakjargon heet dat extraterritoriale werking. Ieder bedrijf dat ergens in de Europese Unie diensten aanbiedt en onder het kopje ‘essentiële activiteiten’ valt, zal aan de nieuwe richtlijn moeten voldoen. Als je zaken doet met een niet-Europese organisatie kun je niet achterover leunen, maar moet je alsnog controleren of die organisatie ergens in de Europese Unie essentiële activiteiten uitvoert.

NIS2 is voor u relevant, wat nu?

Wanneer u op basis van de 3 bovenstaande stappen heeft vastgesteld dat NIS2 relevant voor u is, kunt u starten met het in kaart brengen van uw cybersecurity risico’s. Zorg hierbij dat u minimaal invulling geeft aan de basismaatregelen, zoals deze door het Nationaal Cyber Security Centrum (NCSC) zijn opgesteld.

Tip: Het ministerie van Economische Zaken en Klimaat heeft een gratis hulpmiddel ontwikkeld: de Basisscan Cyberweerbaarheid. Hiermee krijgt u snel inzicht op hoofdlijnen.

Meer informatie?

Wilt u zeker weten of NIS2 wel of niet relevant is voor uw bedrijf? Of wilt u een professionele opinie over uw weerbaarheid en bescherming tegen cybersecurity risico’s? Neem dan vooral contact op met de IT-security specialisten van Afier via info@afier.com of via 0592 – 53 09 53. We helpen u graag!