Zo bereiden bedrijven zich alvast voor op de nieuwe cyberwet
Het zal je niet ontgaan zijn. Door de Europese NIS2-richtlijn zullen veel meer bedrijven en beheerders van ICT-diensten cybersecuritymaatregelen moeten nemen, ook bedrijven die nog niet eerder te maken hadden met cyberwetgeving. Er is Nederlandse wetgeving in de maak die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor onze samenleving en economie; de Cyberbeveiligingswet (Cbw).
Valt mijn bedrijf onder de wet?
De wet beoogt de cyberveiligheid te versterken bij bedrijven die opereren in een kritieke sector waarbij we geen uitval kunnen lijden, zoals in ICT-diensten, betalingsverkeer, internet of zorg. Naast dat er veel meer bedrijven extra cybersecuritymaatregelen moeten nemen, komt er ook een verplichting om cyberincidenten te melden. De Cbw is in eerste instantie van toepassing op (middel)grote bedrijven en organisaties die opereren in (zeer) kritieke sectoren.
Grootte of omvang
Op een bedrijf dat in één van de bovenstaande sectoren opereert, is de nieuwe wetgeving doorgaans alleen van toepassing als het bedrijf 'groot' of 'middelgroot' is. De bedrijfsgrootte wordt gedefinieerd door aantal medewerkers, jaaromzet en balanstotaal.
Voor sommige bedrijfstakken gelden deze omvangcriteria niet. Aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinregistratiediensten en overheidsorganisaties vallen áltijd onder de Cbw, ongeacht de omvang.
Op micro- en kleine bedrijven is de wet alleen van toepassing wanneer een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling. Dit kan zich voordoen als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Ook (toe)leveranciers moeten aan de slag
Bedrijven die zelf niet aan bovenstaande criteria voldoen, kunnen toch nog - indirect - gevolgen ondervinden van deze nieuwe cyberwetgeving. De wet bepaalt namelijk dat Cbw-bedrijven ervoor moeten zorgen dat hun keten van toeleveranciers veilig is. Als uit een keteninventarisatie blijkt dat een toeleverancier impact heeft op het netwerk- en informatiesysteem van een Cbw-bedrijf, kan het Cbw-bedrijf extra beveiligingsmaatregelen eisen. Proportionaliteit is bij deze onderlinge ketenafspraken belangrijk.
Begin bij het NIS2-startpunt
Bedrijven die onder de Cbw vallen, zullen diverse cybersecuritymaatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen. Het nemen van deze maatregelen heeft enkele maanden doorlooptijd. Daarom adviseert het Digital Trust Center (DTC) om daar nu alvast mee te beginnen.
Om alle ondernemers te helpen zich zo goed mogelijk voor te bereiden op de komst van deze wetgeving, heeft het DTC alle informatie die nu voor handen is gebundeld op het NIS2-startpunt. Hier vind je achtergrondinformatie over de aankomende wet, tools en checklists waar je als ondernemer mee aan de slag moet. Ook vind je handvatten voor de 10 zorgplichtmaatregelen die in de Europese richtlijn opgenomen zijn. Totdat de uitwerking van de zorgplichtmaatregelen voor Nederland in een algemene maatregel van bestuur is uitgewerkt, geeft de Europese NIS2-richtlijn voldoende handvatten voor voorbereidende acties voor Cbw-compliancy.
Poster "Wat schrijft de NIS2-richtlijn voor?"