woensdag 25 oktober 2023 10:30

De wet NIS 2 en cyberriskverzekering

Alle bedrijven die ‘essentiële diensten’ leveren moeten gaan voldoen aan de nieuwe Europese cyberwet, NIS2. (NIS staat voor Network and Information Security). Op dit moment geldt in Europa NIS1, een wet voor essentiële bedrijven, zoals water- en telecombedrijven. NIS2 heeft betrekking op veel meer bedrijven. NIS1 is in Nederland vertaald naar de Wbni* (Wet Beveiliging Netwerk- en Informatiesystemen). De Wbni wordt uitgebreid op basis van de Europese NIS2-richtlijn. Op 18 oktober 2024 gaat de regelgeving gelden.

Een flink aantal bedrijven in ons land gaan hiermee te maken krijgen!

NIS2 gaat over

  • Voor de samenleving essentiële en vitale bedrijven (circa 1.280 bedrijven)
  • Als belangrijk aangemerkte bedrijven (circa 3.100 bedrijven)
  • Toeleveranciers aan die essentiële, vitale en belangrijke bedrijven (een flink aantal bedrijven)

De huidige wet Wbni* heeft betrekking op 300 bedrijven. Het aantal bedrijven dat direct of indirect met NIS2 te maken gaat krijgen, zal dus enorm toenemen. Voorbeelden: technologische ondernemingen, kleine fabrieken, internet serviceproviders en bedrijven die te maken hebben met water of energie. Daarnaast ook de levensmiddelensector (voedselproductie en supermarktketens), partijen in de chemische en maakindustrie, afvalverwerking, transport, post- en koeriersdiensten en de gezondheidszorg, bijvoorbeeld fabrikanten van medische hulpmiddelen.

Voor wie is NIS 2?

Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn (in Europa NIS genoemd). Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen.  De voorlopige lijst is als volgt:

  • Voor de samenleving essentiële en vitale bedrijven (circa 1.280 bedrijven)
  • Als belangrijk aangemerkte bedrijven (circa 3.100 bedrijven)
  • Toeleveranciers aan die essentiële, vitale en belangrijke bedrijven (een flink aantal bedrijven) 

Alle toeleveranciers van bovenstaande bedrijven

Levert jouw bedrijf aan één of meer van de bovenstaande bedrijven, dan zul je hoogstwaarschijnlijk dus ook met de NIS2-richtlijn (de wet) te maken gaan krijgen. Je zult waarschijnlijk samen met je klant (als dat een essentieel/vitaal of belangrijk bedrijf is) zul je moeten kijken naar de afspraken die jullie maken, welke risico’s er zijn en hoe die worden geregeld. Naast juridische documenten en vastlegging zul je aanvullend moeten laten zien (rapporteren) welke maatregelen je hebt genomen of nog gaat nemen.

Omdat de Nederlandse wetgever de definitieve teksten nog moet maken zullen de exacte voorwaarden later bekend worden.

Bekijk hier de lijst van essentiële en belangrijke sectoren 

Doel: veiligheid in de keten, waardoor Nederland blijft draaien

Cybercriminaliteit is uitgegroeid tot een van de grootste bedreigingen voor bedrijven. En dus voor de economie en de burgers. Cybercriminelen richten jaarlijks voor honderden miljoenen euro’s schade aan. Dat bedrag stijgt hard. Het is niet meer voldoende dat alleen grote bedrijven zich goed beveiligen. Hackers die zich richten op grote bedrijven, vallen vaak eerst de kleine bedrijven aan die in verbinding staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.

Met de nieuwe wet worden de grote bedrijven en hun bestuurders verantwoordelijk voor de keten. Ze zullen hun kleinere leveranciers op allerlei manieren verplichten om cybersecurity serieus te regelen. Dat gaat veel verder dan het alleen op te nemen in een contract; er hangt ook een een aparte administratie aan vast en er zullen audits uitgevoerd gaan worden. De NIS2-wetgeving verplicht tot het goed vastleggen en kunnen aantonen van de gedane inspanningen. Je bent als groot bedrijf verantwoordelijk als een toeleverancier een incident veroorzaakt in de keten. Controle en bewaking van de hele keten onder je is nodig. 

Strenge handhaving

NIS2 gaat een flinke impact hebben op bedrijven. Cybersecurity wordt een directie-aangelegenheid. Je kunt het thema niet louter overlaten aan je ICT-afdeling. Je bent als bestuurder zelf verantwoordelijk. Het thema cybersecurity moet volledig worden ingebed in de organisatie. Het zal besproken moeten worden binnen de directie, met de ICT-afdeling, maar ook met de juristen en de afdeling HRM en personeelsaangelegenheden. Digitale veiligheid is niet meer optioneel. De essentiële en belangrijke bedrijven zullen regelmatig actief worden gecontroleerd. De als belangrijk aangeduide bedrijven worden via steekproeven en na incidenten gecontroleerd. De controle van de toeleveranciers is een zaak voor de essentiële en belangrijke bedrijven zelf! Er is een risico op boetes als er in de keten onder hen iets fout gaat. 

Aantonen wat je hebt gedaan en hoe

Zodra de exacte Nederlandse wetgeving bekend kan er meer informatie gepubliceerd worden.

Wat kunnen bedrijven nu al doen?

Het is belangrijk dat organisaties eerst een GAP-analyse uitvoeren om te bepalen aan welke eisen zij op dit moment al voldoen. Voor de resterende eisen kunnen zij een roadmap opstellen. Het is daarbij van belang te bedenken dat cyberweerbaarheid niet een eenmalige exercitie is, maar een cyclisch proces dat bestaat uit een aantal onderdelen:

  • Maatregelen nemen om een cyberrisico te voorkomen of verkleinen, zoals een workshop voor het bestuur om voldoende kennis te verkrijgen van het risico om er over te kunnen beoordelen, maar ook een cyberbewustzijnstraining voor collega’s.
  • Risico’s in kaart brengen en kwantificeren, zodat de mogelijke gevolgen en impact van een incident bekend zijn.
  • Organisatie zodanig inrichten dat zij adequaat kunnen reageren op een incident, bijvoorbeeld door een crisisplan op te stellen en een crisisteam op te richten dat regelmatig oefent met scenario’s.
  • Verzekeren van het restrisico met een cyber risk verzekering, zodat de financiële en organisatorische gevolgen van cyberincidenten beperkt blijven. 

* De Wbni (Wet Beveiliging Netwerk- en Informatiesystemen) is de Nederlandse implementatie van de Europese Netwerk- en Informatiebeveiliging Richtlijn, de NIB-Richtlijn (in Europa NIS genoemd). Deze richtlijn maakt Europa digitaal veiliger door de digitale weerbaarheid te vergroten en de gevolgen van cyberincidenten te verkleinen.

Links

Aanvullende informatie

Laatst aangepast op woensdag 25 oktober 2023 10:38