De Europese Unie heeft in november 2022 een nieuwe cybersecuritywet, de NIS 2, aangenomen. Deze richtlijn moet binnen de EU een hoge standaard van cyberveiligheid garanderen. De wet verhoogt de reikwijdte en de boetes bij overtreding van de NIS-richtlijn uit 2016. De nieuwe wet is een reactie op het groeiend aantal digitale bedreigingen en cyberaanvallen. Als de richtlijn officieel ingaat, heeft Nederland twee jaar de tijd de richtlijn om te zetten in nationale wetgeving. Dit betekent dat sommige Rotterdamse ondernemers zich vanaf 2024 aan nieuwe en strengere cybersecurityregels moeten houden.

Voor welke ondernemer?

De richtlijn geldt voor alle middelgrote en grote organisaties die de EU essentieel of belangrijk vindt. Onder essentiële sectoren vallen: energie, vervoer, het bankwezen, financiële marktinfrastructuren, gezondheidszorg, drinkwater en afvalwater, digitale infrastructuur, openbaar bestuur en ruimtevaart. Belangrijke sectoren zijn: post- en koeriersdiensten, afvalbeheer, vervaardiging, productie en distributie van chemische stoffen, voedingsproductie, -verwerking en -distributie, verwerkende industrie en digitale aanbieders.

Alle organisaties met méér dan 50 medewerkers en een omzet van meer dan 10 miljoen euro vallen onder de richtlijn. Bedrijven die hier niet onder vallen zijn in principe uitgesloten, tenzij deze bedrijven aan speciale criteria voldoen die duiden op een sleutelrol in een bepaalde sector of type dienstverlening. Bijvoorbeeld als zij een overheidsdienst zijn of de enige aanbieder van een dienst in een lidstaat of regio. Zij worden dan ook gezien als essentiële of belangrijke organisatie. De EU-lidstaten bepalen de komende tijd welke ondernemingen dit zijn.

Wat verandert er?

De NIS 2-richtlijn legt ondernemingen meer verplichte maatregelen op voor het beheer van cyberbeveiligingsrisico’s. Zo wordt het verplicht om risicoanalyses en beleid rond de beveiliging van informatiesystemen uit te voeren. En om maatregelen te nemen ter beveiliging van de relaties met toeleveranciers. Daarnaast is er een strengere meldingsplicht bij cybersecurity incidenten die een groot effect op de dienstverlening hebben (melden binnen 24 uur i.p.v. 72 uur). De richtlijn zorgt daarmee voor strengere handhavingsverplichtingen voor ondernemingen.

Ook krijgt de nationale toezichthouder meer bevoegdheden. Deze instantie keurt de maatregelen voor het risicobeheer van cyberbeveiliging van ondernemingen goed en controleert of zij voldoen aan de beveiligingseisen en het melden van incidenten. De richtlijn zorgt zo voor strenger toezicht en handhaving. Als essentiële ondernemingen straks hun plichten niet nakomen, gelden er boetes van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Voor belangrijke ondernemingen is dit maximaal 7 miljoen euro of 1.4% van de totale wereldwijde jaaromzet.

Wat je nu al kunt doen

1. Uitzoeken of jouw onderneming als middelgrote of grote organisatie wordt gezien en daarmee direct onder de nieuwe richtlijn gaat vallen (of halverwege 2024 aan deze vereisten voldoet).
2. Zo ja, dan kun je nu alvast uitzoeken welke nieuwe verplichtingen rond informatiebeveiliging je straks moet implementeren:
   • Risicoanalyse en beveiligingsbeleid voor het informatiesysteem: beoordelen wat het risiconiveau op cyberaanvallen in de organisatie is.
   • Preventie, detectie en reactie op incidenten: vanuit de risicoanalyse de kwetsbaarheden in het bedrijf identificeren en plannen opstellen om cyberaanvallen te voorkomen.
   • Bedrijfscontinuïteit en crisismanagement: het opzetten van back-upoplossingen in een cloudopslag om ervoor te zorgen dat het bedrijf in het geval van een cyberaanval door kan gaan.
   • Beveiliging van de bevoorradingsketen: organisaties moeten rekening houden met de kwetsbaarheden van elke leverancier en serviceprovider.
   • Gebruik van cryptografie: het gebruik van cryptografie om het bedrijfsnetwerk te beschermen.
   • Openbaarmaking van kwetsbaarheden: het gebruik van open source testen om kwetsbaarheden in de beveiliging aan het licht te brengen en deze te delen met de toezichthouder en andere organisaties.
   • Beleid en procedures om de effectiviteit van het cyberbeveiligingsrisico van de organisatie te beoordelen: het implementeren van beleid om de cyberbeveiliging regelmatig te controleren.
3. Het is ook handig om alvast voorbereidingen te treffen voor de meldplicht voor het rapporteren van cybersecurityincidenten -en dreigingen binnen 24 uur. Momenteel valt de meldplicht onder de Wet Beveiliging Netwerk- en Informatiesystemen. Bekijk deze factsheet van het Nationaal Cyber Security Centrum om te zien hoe de meldplicht precies in elkaar steekt.

Meer informatie

Bezoek voor meer informatie:

• Ministerie van Buitenlandse Zaken – Europees Parlement en Raad bereiken politiek akkoord over cybersecurity richtlijn | Expertisecentrum Europees Recht
• Kamer van Koophandel – Europese cyberwetten: dit gaan ze voor je bedrijf betekenen
• Risk Ledger – What Is The New NIS 2 Directive and What Does It Mean For You?
• Podcast Euractiv: NIS2 – All you need to know