Duizenden bedrijven dreigen klanten kwijt te raken door onvoldoende compliance aan NIS2.

Wat is de NIS2-richtlijn?

Cybersecurity is ontzettend belangrijk voor de bescherming van onze samenleving. Om die reden heeft de Europese Unie in 2016 de Network and Information Security Directive geïntroduceerd. Nu komt er dus een vernieuwde richtlijn – de NIS2 – om de cyberveiligheid en de weerbaarheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren. De NIS2-richtlijn moet ervoor zorgen dat de digitale en economische weerbaarheid van de EU-lidstaten beter wordt en wordt op dit moment omgezet naar nationale wetgeving.

Hoe maak je je organisatie klaar voor NIS2?

Anticiperen op de NIS2-richtlijn is volgens Thierry niet alleen een kwestie van willen voldoen aan nieuwe wetgeving. “Voldoen aan de richtlijn is een strategische stap om je als organisatie goed te bewapenen tegen cyberdreigingen. En ook al is het niveau van je cybersecurity nog zo goed, je zal als je onder de NIS2-richtlijn valt een hoop aanvullende maatregelen moeten nemen.”

Denk hierbij aan het opzetten van het beleid en de procedures waarmee je de meldplicht vormgeeft, maar ook het in kaart brengen en waarborgen van risico’s. Het gaat dan niet alleen om de beveiligingsrisico’s in je eigen organisatie – de NIS2-richtlijn beschrijft duidelijk dat je ook de veiligheid binnen je leveranciersketen moet waarborgen. Hiervoor kun je praktische risicomanagementsoftware gebruiken.

Label ‘essentieel’ of ‘belangrijk’

Welke maatregelen je moet nemen als de richtlijn ingaat, hangt af van welk label je organisatie krijgt: ‘essentieel’ of ‘belangrijk’. “Voor essentiële of belangrijke organisaties gelden straks dezelfde eisen voor cybersecuritymanagement, ze hebben allemaal een zorgplicht”, zegt Thierry. “Het belangrijkste verschil tussen de twee labels is de mate van toezicht op het naleven van de regels.”

• Essentiële organisaties vallen onder proactief toezicht. Er wordt dus actief gecheckt of zij de regels correct geïmplementeerd hebben én naleven.
• Belangrijke organisaties kunnen pas toezicht verwachten nadat er een cyberincident heeft plaatsgevonden, en alleen als hier aanwijzingen voor zijn.

Veel onduidelijk rondom NIS2

Veel Nederlandse bedrijven hebben ‘nog geen idee’ wat hen te wachten staat. Volgens Samen Digitaal Veilig heeft de nieuwe Europese richtlijn gevolgen voor ruim 50.000 Nederlandse bedrijven. Slechts een kleine minderheid is van de nieuwe eisen op de hoogte. Dit kan grote gevolgen hebben voor het Nederlandse bedrijfsleven.

Wellicht weet jij wel wat het betekent, maar een groot deel van je collega’s heeft misschien nog nooit van de NIS2 gehoord of denkt dat het niet van toepassing is op jouw organisatie. Je kunt het bewustzijn van medewerkers vergroten door trainingen en informatiesessies te organiseren. Zo blijft leren leuk en worden je collega’s niet overspoeld door informatie.

Twijfel je nog of jouw organisatie onder de NIS2 valt? De Rijksinspectie Digitale Infrastructuur heeft een zelf-evaluatietool uitgebracht waarmee je kunt checken of de NIS2-richtlijn van toepassing is op jouw organisatie. Ook zie je met de tool of je onder de categorie ‘essentieel’ of ‘belangrijk’ valt.

Maak je klaar voor NIS2

Voor veel organisaties is er dus nog werk aan de winkel. Om aan de nieuwe wet te voldoen, zul je meer moeten doen. Awareness creëren onder medewerkers bijvoorbeeld, want het bewustzijn over de nieuwe regelgeving moet worden vergroot. Een andere, onmisbare manier om je organisatie klaar te stomen voor de NIS2, is het gebruik van betere software. Dankzij goede software breng je makkelijker in kaart waar zich risico’s in je organisatie bevinden en koppel je maatregelen om je organisatie goed te beschermen. Met de juiste software ben je helemaal klaar voor de NIS2-implementatie.