NIS2, de vernieuwde Network and Information Security Directive, krijgt steeds meer aandacht binnen het MKB. En dat is maar goed ook, want nog lang niet iedereen is bekend met de impact van deze Europese richtlijnen. Ook al lijkt NIS2 niet direct van toepassing op je eigen (MKB) bedrijf, de kans is groot dat je vanuit ketenverantwoordelijkheid toch actie moet ondernemen en je cybersecurity onder de loep moet nemen. In deze blog gaat Wolter, mede-oprichter van Masero, in op een aantal belangrijke thema’s rondom NIS2.
Wat betekent NIS2 voor het MKB?
NIS2 is een uitbreiding van de originele NIS-richtlijn en heeft als doel de digitale weerbaarheid van organisaties in de EU te vergroten. Hoewel NIS2 direct van toepassing is op ongeveer 10.500 bedrijven in Nederland, heeft het indirect invloed op een veel grotere groep, waaronder het MKB.
Als toeleverancier van bedrijven die onder NIS2 vallen, kun je te maken krijgen met strengere eisen op het gebied van cybersecurity. Dit komt doordat grote organisaties verantwoordelijk worden gehouden voor de beveiliging van hun hele toeleveringsketen.
NIS2 richt zich in eerste instantie op organisaties binnen bepaalde sectoren die omschreven worden als ‘essentieel’ of ‘belangrijk’. Dit houdt in dat ze een cruciale rol spelen in het functioneren van de samenleving en de economie. Hun diensten zijn van vitaal belang voor de veiligheid, gezondheid en welzijn van burgers en de stabiliteit van de economie. Hierbij een overzicht van de verschillende sectoren:
In Nederland vallen ca 10.500 bedrijven direct onder de NIS2 regelgeving, waarvan 1.500 ‘essentieel’ en 9.000 het kenmerk ‘belangrijk’ hebben. Het aantal toeleveranciers (en toeleveranciers van de toeleveranciers) loopt in de tienduizenden en de kans is groot dat jouw bedrijf daar ook onder valt. De vraag is: hoe groot is de afhankelijkheid van de NIS2 bedrijven, en welk risico lopen ze als jouw dienstverleningen stagneert of komt te vervallen door een cyberaanval? Afhankelijk van de impact zullen ze meer of minder maatregelen eisen. Wij adviseren MKB-ers om zich hierop voor te bereiden en daarmee het risico dat ze een grote klant kwijtraken te voorkomen!
Aan welke maatregelen moet ik denken?
NIS2 is gericht op risicomanagement. Je moet als management begrijpen welke bedrijfsrisico’s je loopt en in hoeverre cyberdreigingen een impact kunnen hebben op je bedrijfscontinuïteit. Wat moet je doen bij een incident? Heb je een actueel herstelplan? Weet iedereen hoe hij moet reageren?
Een informatiebeveiligingsproces waarbij je periodiek beoordeelt of je nog aan de eisen voldoet en een beschrijving hiervan zijn erg belangrijk. Dit kan namelijk ook als bewijs dienen richting je klant, mocht hij daarom vragen. Beleid, een incidentresponsplan en bewijs van de genomen beveiligingsmaatregelen zijn voor NIS2 belangrijk. Daarnaast gaat het niet alleen om compliance maar helpt het ook ter geruststelling. Weten dat je er voldoende aan hebt gedaan om veilig te zijn, komt je nachtrust ten goede.
Hoe kom ik er achter of ik aan de NIS2 eisen voldoe?
De kans is groot dat je klant nog geen eisen bij je heeft neergelegd, maar houd er vast rekening mee dat die wel gaan komen. Er zijn kaders zoals ISO 27001 die al duidelijke richtlijnen geven voor security. Als je hieraan voldoet, aangevuld met een aantal organisatorische maatregelen, weet je zeker dat je goed bezig bent. Als je meer wilt lezen over de specifieke maatregelen of antwoord zoekt op een specifieke vraag, neem dan even een kijkje op onze pagina over NIS2.
Welke voorbereidingen kan ik treffen?
Laat een check uitvoeren met betrekking tot je huidige cybersecurity status, zowel technisch als organisatorisch. Dit geeft in ieder geval een beeld hoe je ervoor staat en welke maatregelen je nog moet nemen. Ook al zijn niet alle eisen vanuit je klant al bekend, je kunt al veel stappen nemen in de juiste richting:
- Verbeter de basismaatregelen, zoals MFA en regelmatige software updates en patches.
- Documenteer processen zodat je kunt aantonen hoe je met beveiligingsrisico’s omgaat.
- Train je medewerkers, aangezien cybersecurity de verantwoordelijkheid is van iedereen binnen je bedrijf.
- Blijf op de hoogte van de laatste ontwikkelingen rondom NIS2 en de implementatie in Nederland.
Conclusie
NIS2 mag dan vooral gericht zijn op grote organisaties, de impact ervan zal voelbaar zijn in het hele Nederlandse bedrijfsleven. Door een proactieve houding zorg je ervoor dat je niet alleen voldoet aan toekomstige eisen, maar ook dat je bedrijf weerbaarder is tegen de groeiende dreiging van cybercriminaliteit.
Ben je benieuwd naar de impact van NIS2 op jouw organisatie, of wil je eens sparren over de mogelijkheden? Neem dan gerust contact met ons op!
Wolter Buijs is mede-oprichter van Masero Cyber Security en dé persoon als het aankomt op processen. Samen met compagnon Nico van de Haar is hij in 2020 het bedrijf gestart met als doel het MKB te voorzien van hetzelfde cybersecurityniveau als de grote corporaties. Wolter biedt bedrijven deskundig advies op het gebied van informatiebeveiliging, ISO 27001 en NIS2.