Cybersecurity voor organisaties: een update van de NIS2 wet- en regelgeving

In dit blogartikel lees je wat de nieuwe NIS2 wetgeving betekent voor de cybersecurity van jouw organisatie?

Er staat een nieuwe cybersecurity wetgeving vanuit de EU op de tijdlijn: NIS2. NIS is de afkorting voor Network- en Information Systems en deze opvolging van de NIS1-wetgeving uit 2016 dwingt een hoop extra bedrijven om hun cybersecurity serieus te nemen. Met persoonlijke directie aansprakelijkheid en boetes voor nalatige organisaties in het verschiet is het belangrijk om te weten wat de nieuwe wetgeving inhoudt.

Benieuwd wat er verandert met NIS2? Lees dan gauw verder.

Wanneer gaat de NIS2 wetgeving in Nederland in?

De EU-Richtlijn is op dit moment al van kracht, maar de EU-lidstaten hebben tot oktober 2024 om hun beleidsstukken te publiceren en de maatregelen te implementeren. Op dit moment geldt dus alleen de NIS1 wetgeving, maar deze is enkel verplicht voor de vitale bedrijven: NUTS en Telecom.

Wat zijn de belangrijkste componenten van NIS2?

Op dit moment variëren de verschillende EU-landen nu nogal in hun wet- en regelgeving omtrent cybersecurity. Door de NIS2 wordt daar nu een lijn in getrokken en worden de vitale sectoren uitgebreid met organisaties uit de voedselvoorziening, zorg, financiële marktinfrastructuur, digitale infrastructuur, overheidsdiensten, bankwezen en ruimtediensten en de gehele toeleveringsketen in die sectoren.

Daarnaast worden de vitale organisaties opgedeeld in “essentiële” en “belangrijke” organisaties, een onderscheid op basis van de impact op de samenleving wanneer de organisatie gehackt wordt. Beide type organisaties krijgen een zorgplicht voor het inrichten van hun cybersecurity, zoals adequate monitoring en een meldplicht om datalekken binnen 24 uur bekend te maken.

Met deze uitbreiding heeft NIS2 een dwingender karakter ten opzichte van NIS1. Er wordt actief gehandhaafd door regelgevers en autoriteiten om te controleren of organisaties aan de zorgplicht voldoen. Nalatige organisaties riskeren boetes op basis van hun omzet: 1,4% voor belangrijke en zelfs 2% voor essentiële organisaties. Bovendien maakt de NIS2 wetgeving directieleden ook persoonlijk aansprakelijk als ze zich nalatig gedragen met hun cybersecurity.

Kortom, cybersecurity is dus niet meer iets wat je simpelweg aan je IT-afdeling of IT-partner kunt overlaten; de verantwoordelijkheid ligt nu bij de bestuurders zelf.

Maatregelen tegen de “ransomware-pandemie”

De nieuwe wet is een reactie op de toenemende mate van cybercriminaliteit. Inmiddels wordt er zelfs gesproken over een “ransomware-pandemie”. Deze term is niet zomaar uit de lucht gegrepen, want in 2021 kreeg de politie 14.000 meldingen. Dat is zo’n 30% meer dan in 2020 en zelfs drie keer zoveel als in 2019! Aangezien de technologie razendsnel doorontwikkeld zijn de NIS1 maatregelen van 2016 inmiddels al sterk verouderd.

Iedereen is een potentieel target

Hoewel de NIS 2-wetgeving nog steeds een onderscheid maakt tussen vitale en niet-vitale bedrijven doen hackers dat natuurlijk niet. Zij kijken simpelweg of je een interessant businessmodel voor bent en dat kan zijn omdat je waardevolle data hebt of omdat je simpelweg een makkelijk doelwit bent. Zo kunnen datalekken dus overal en bij iedereen ontstaan, waarbij jij zelf altijd de eindverantwoordelijke bent voor de gegevens van je klanten en werknemers.

Dus, los van of de NIS2-wetgeving voor jouw organisatie gaat gelden is het nu het aangewezen moment om je cybersecurity serieus te nemen. Benieuwd hoe jij de nodige stappen zet? Neem dan vrijblijvend contact met ons op en wij helpen je graag op weg.