De NIS2-richtlijn is de Europese cybersecurity-wetgeving die sinds oktober 2024 van kracht is in Nederland. Deze richtlijn stelt strengere eisen aan de digitale beveiliging van bedrijven in essentiele en belangrijke sectoren. Maar wat betekent NIS2 concreet voor uw MKB-bedrijf? Valt u eronder? En wat moet u doen om aan de eisen te voldoen?
In dit artikel leggen wij uit wat de NIS2-richtlijn inhoudt, welke bedrijven ermee te maken krijgen en welke concrete stappen u kunt nemen om compliant te worden.
NIS2 staat voor Network and Information Security Directive 2. Het is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016 en is aanzienlijk strenger en breder in scope. De richtlijn is door de Europese Unie opgesteld om de cyberweerbaarheid van organisaties in Europa te versterken.
De belangrijkste veranderingen ten opzichte van de eerste NIS-richtlijn:
De NIS2-richtlijn maakt onderscheid tussen essentiele entiteiten en belangrijke entiteiten. Essentiele entiteiten zijn bedrijven in sectoren die cruciaal zijn voor de samenleving. Belangrijke entiteiten zijn bedrijven in sectoren die weliswaar niet direct vitaal zijn, maar wel een significant economisch belang vertegenwoordigen.
Hier wordt het voor MKB-bedrijven bijzonder relevant. Als u producten of diensten levert aan organisaties in bovenstaande sectoren, kunt u als toeleverancier ook onder de NIS2-richtlijn vallen. Dit betekent dat veel meer MKB-bedrijven dan verwacht te maken krijgen met NIS2-eisen, ook al valt hun eigen sector er niet direct onder.
Volgens het Digital Trust Center onderschatten veel MKB-bedrijven de impact van NIS2 op hun organisatie. De richtlijn heeft bewust een ketenbenadering: de beveiliging is zo sterk als de zwakste schakel.
De NIS2-richtlijn schrijft een aantal concrete beveiligingsmaatregelen voor. Organisaties moeten aantoonbaar passende en evenredige technische en organisatorische maatregelen nemen. De belangrijkste eisen:
U moet een actuele risicoanalyse uitvoeren van uw IT-omgeving en op basis daarvan een beveiligingsbeleid opstellen. Dit beleid beschrijft welke risico’s u heeft geidentificeerd en welke maatregelen u neemt om deze te beperken.
Er moeten procedures zijn voor het detecteren, analyseren en afhandelen van beveiligingsincidenten. Significante incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder, gevolgd door een gedetailleerd rapport binnen 72 uur.
U moet een plan hebben voor het voortzetten van uw bedrijfsactiviteiten tijdens en na een cybersecurity-incident. Dit omvat back-upbeheer, disaster recovery en crisismanagement.
U moet de cybersecurityrisico’s van uw leveranciers en dienstverleners in kaart brengen en beheersen. Dit betekent dat u eisen mag en moet stellen aan de beveiliging van uw partners.
Bij de aanschaf van nieuwe IT-systemen en bij softwareontwikkeling moeten beveiligingseisen worden meegenomen vanaf het begin.
U moet periodiek beoordelen of uw beveiligingsmaatregelen effectief zijn. Dit kan door middel van audits, penetratietests of beveiligingsscans.
Medewerkers moeten getraind worden in cybersecurity-bewustzijn. Basale cyberhygiene zoals sterke wachtwoorden, Multi-Factor Authenticatie en het herkennen van phishing moet op orde zijn.
Gevoelige gegevens moeten waar nodig versleuteld worden, zowel tijdens opslag als tijdens transport.
Er moet een duidelijk beleid zijn voor wie toegang heeft tot welke systemen en gegevens, gebaseerd op het principe van minimale rechten.
Het gebruik van MFA of vergelijkbare authenticatieoplossingen is verplicht voor toegang tot kritieke systemen.
De NIS2-richtlijn is op 16 januari 2023 in werking getreden op Europees niveau. Lidstaten hadden tot 17 oktober 2024 de tijd om de richtlijn in nationale wetgeving om te zetten. In Nederland is dit de Cyberbeveiligingswet (Cbw) geworden.
Het Nationaal Cyber Security Centrum (NCSC) en sectorale toezichthouders houden toezicht op de naleving. Bedrijven die niet voldoen aan de eisen riskeren:
IT-Level ondersteunt MKB-bedrijven bij het voldoen aan de NIS2-richtlijn. Onze aanpak:
Wilt u weten of uw bedrijf onder NIS2 valt en wat u moet doen? Neem contact op voor een vrijblijvende NIS2-scan of bel 075 201 30 40.
Scoort u op meerdere punten “nee”? Dan is het verstandig om op korte termijn actie te ondernemen. De NIS2-richtlijn is van kracht en handhaving wordt geintensiveerd.
De NIS2-richtlijn richt zich primair op middelgrote en grote organisaties. Kleine bedrijven (minder dan 50 medewerkers en minder dan 10 miljoen euro omzet) vallen er in principe niet direct onder, tenzij zij actief zijn als toeleverancier van bedrijven die wel onder NIS2 vallen. In de praktijk betekent dit dat ook kleine IT-dienstverleners, softwareontwikkelaars en onderhoudsbedrijven ermee te maken kunnen krijgen.
NIS2 is de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De belangrijkste verschillen zijn: een veel bredere scope (meer sectoren, meer bedrijven), strengere beveiligingseisen, een meldplicht binnen 24 uur, persoonlijke aansprakelijkheid van bestuurders en hogere boetes bij niet-naleving.
De kosten zijn sterk afhankelijk van uw huidige beveiligingsniveau en de omvang van uw organisatie. Voor MKB-bedrijven die al beschikken over basisbeveiliging (firewall, antivirus, back-ups) zijn de aanvullende kosten vaak beperkt. De grootste investering zit doorgaans in beveiligingsmonitoring, documentatie en het trainen van medewerkers. IT-Level biedt een vrijblijvende NIS2-scan aan om inzicht te geven in de benodigde investeringen voor uw specifieke situatie.
Het Nationaal Cyber Security Centrum (NCSC) is de coordinerende instantie. Daarnaast houden sectorale toezichthouders toezicht binnen hun eigen sector, zoals de Autoriteit Persoonsgegevens (AP) voor privacy-gerelateerde aspecten en de Rijksinspectie Digitale Infrastructuur (RDI) voor telecom en digitale diensten.