De Netwerk- en Informatiebeveiligingsrichtlijn 2, kortweg NIS2-richtlijn, is in januari van dit jaar in werking getreden en moet medio 2024, zijn omgezet in Nederlandse wetgeving. Vaak richten hackers, die zich op grote bedrijven richten, zich eerst op kleine bedrijven die verbonden zijn met grote bedrijven. Hierdoor wordt de keten verzwakt en ondervinden zowel grote als kleine bedrijven schade. NIS2 wil de veiligheidsproblemen binnen deze keten aanpakken. De NIS2-richtlijn is dan ook ontstaan om een hoog niveau van cyberveiligheid te realiseren en bepaalt welke bedrijven tot onze kritieke infrastructuur behoren. In Nederland vallen zo’n 4.000 bedrijven onder de richtlijn en dat aantal kan in de toekomst nog drastisch toenemen. Bedrijven moeten zich bewust zijn van deze richtlijnen en er is nog maar één jaar om zich voor te bereiden.
Bij kritieke infrastructuur denken de meeste waarschijnlijk aan zaken als water- en elektriciteitsvoorziening, maar banken en verzekeringsmaatschappijen behoren ook tot deze categorie. In NIS2 zijn ze opgenomen onder de essentiële sectoren, net als de zeer brede term ‘digitale dienstverleners’.
Bedrijven in de 18 genoemde sectoren die meer dan 50 werknemers of een jaaromzet van tien miljoen euro hebben, moeten verplichte cybersecuritymaatregelen implementeren. Belangrijk is dat aanbieders van digitale infrastructuren en vertrouwensdiensten worden gereguleerd, ongeacht hun omvang.
Cyberbeveiligingsfunctionarissen in tijden van krappe arbeidsmarkt
De implementatie van NIS2 vereist dat organisaties hun infrastructuur upgraden, cyberbeveiligingsfunctionarissen aanstellen, indien nodig een risicobeheersysteem invoeren of uitbreiden en emergency IT security teams met rapportagemogelijkheden vormen.
Ingolf Rauh, Head Product and Innovation Management bij Swisscom Trust Services geeft aan: “Gezien de huidige schaarste aan IT-specialisten zou de implementatie van de nieuwe maatregelen eenvoudig moeten zijn. Daarnaast moeten bedrijven voorzichtiger zijn bij het selecteren van hun partners. Het verantwoordelijke personeel moet ervoor zorgen dat hun bedrijven voldoende gereguleerd zijn en over de nodige certificeringen beschikken. Deze partners moeten ook regelmatig audits ondergaan en worden opgenomen in het rapportagesysteem. Daarom is het aan te raden om samen te werken met bedrijven die al ervaring hebben in een sterk gereguleerde omgeving.”
Bedrijven die zich niet aan de regels houden, kunnen hoge boetes opgelegd krijgen aangezien het niet naleven aanzienlijke risico’s met zich meebrengt. Handhaving gaat via proactieve controles plaatsvinden en het management zal aansprakelijk zijn voor overtredingen.
Voorbereiding moet nu starten
Binnenkort start de internetconsultatie die organisaties de mogelijkheid geeft te reageren op de concept wetteksten die uit de NIS2-richtlijn voortkomen. Deze consultatieperiode zal bedrijven helpen begrijpen welke eisen worden gesteld om eind 2024 aan de wet te voldoen. Daarom is het aan te raden dat alle bedrijven bepalen of ze onder de nieuwe NIS2-richtlijn vallen en vanaf 2024 aan de strenge eisen moeten voldoen. Dat kan snel worden gedaan via de NIS2 Zelfevaluatie. Als dat het geval is, moeten bedrijven beginnen met het maken van strategische afwegingen, bijbehorende stappenplannen ontwikkelen en bijbehorende maatregelen implementeren. Anders staan er vervelende verrassingen te wachten komende zomer.