MKB ondernemer? Check dan of deze nieuwe cyberregels vanaf volgend jaar ook voor u gelden

Wat is NIS2?

Ondanks dat de NIS2 een richtlijn is, geldt deze binnen de EU-landen als bindende wet. De bedrijven die hiermee te maken krijgen, kunnen daardoor rekenen op aanvullende eisen voor cyberrisicobeheer, aangescherpte controle en toezicht en regels voor ‘incident response’ en bedrijfscontinuïteit. Ook het aantal bedrijven dat binnen de reikwijdte van deze wet valt, wordt groter.

Een ander belangrijk element is de scheiding tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. Essentiele entiteiten krijgen te maken met strengere wet- en regelgeving, proactief toezicht en ook hogere boetes op het moment dat niet aan de richtlijnen wordt voldaan. Belangrijke entiteiten krijgen pas met toezicht te maken op het moment dat daar aanleiding voor is. Ook zijn de boetes voor hen lager.

Om de samenleving te beschermen

De NIS2 is vooral in het leven geroepen om de invloed van een cyberaanval op de samenleving te verkleinen. De EU heeft dus niet als doel om uw organisatie tegen een cyberaanval te beschermen, maar om het effect hiervan op de maatschappij te verkleinen. In het geval van bijvoorbeeld een energieleverancier, vallen nu ook hun toeleveranciers onder deze wet. Zo wordt de hele keten veiliger.

U ontvangt géén bericht

Belangrijk punt: valt uw organisatie onder de nieuwe regelgeving? Dan ontvangt u hierover géén apart bericht. U moet dus zelf de inschatting maken of u in onderstaande lijst thuis hoort.

Essentiele entiteiten

• Energie: levering, distributie, transmissie en verkoop van elektriciteit, gas, olie, verwarming/ koeling, waterstof, exploitanten van EV-oplaadpunten
• Transport via lucht, spoor, weg en water (inclusief rederijen en havenfaciliteiten)
• Bankieren/ financiën: krediet, handel, markt en infrastructuur
• Gezondheid: zorgverleners, onderzoekslaboratoria, farmaceutica, productie van medische hulpmiddelen
• Water: drinkwaterleveranciers en afvalwaterbeheerders
• Digitale Infrastructuur en IT-diensten: DNS, naamregisters, vertrouwensdiensten, datacenters, Cloud computing, elektronische communicatiediensten, beheerde diensten en beheerde veiligheidsdiensten
• Openbaar bestuur: centraal, regio’s en lokaal optioneel
• Space: exploitanten van infrastructuur op de grond

Belangrijke entiteiten

• Post- en koeriersdiensten: alle aanbieders
• Afvalbeheer
• Chemische producten: productie en distributie
• Voedsel: distributie en productie
• Fabrikanten: medische / diagnostische apparaten, computers, elektronica, optica, machines, motorvoertuigen, aanhangwagens, opleggers en andere transportmiddelen
• Digitale aanbieders: online marktplaatsen, zoekmachines en sociale platforms
• Onderzoeksorganisaties

Niet verplicht, maar wel ter inspiratie

Valt u onderneming niet binnen deze lijst? Laat u dan vooral inspireren. Het is immers niet alleen goed om na te denken over de impact van een cyberaanval op uw eigen onderneming, maar daarnaast ook op het effect dat het op uw toeleveranciers of klanten zou hebben. Wat gebeurt er als uw organisatie een dag, week, maand of misschien wel langer niet meer operationeel is? Wat is dan het gevolg voor uw klanten? Kunnen zijn hun werk dan nog wel doen?

U kunt uzelf de volgende vragen stellen: 

1. Welke informatie of producten moet ik beveiligen? Bijvoorbeeld klantgegevens, productiemethoden, recepten en gegevens van medewerkers? Kunnen klanten, leveranciers of relaties u bijvoorbeeld aansprakelijk houden op het moment dat hun gegevens openbaar worden of zij schade lijden uw bedrijfsstilstand? 

2.  Welke gegevens staan goed beschermd en wie heeft er toegang? En hoe zit het met de partijen waar u mee samen werkt? Vaak komen cybercriminelen binnen via een toeleverancier met een minder goede bescherming. Kan dat ook bij u gebeuren? 

3. Is uw huidige beveiliging voldoende? Of zijn er misschien aanvullende maatregelen nodig? Zijn er bijvoorbeeld systemen waar u niet zonder kunt? Hebben die extra beveiliging nodig? 

Meer informatie

Wilt u eens (vrijblijvend) sparren over de cyber veiligheid van uw organisatie of in drie eenvoudige stappen door ons cyber adviestraject? Neem dan gerust contact met ons op! Wij helpen u graag.

Melle Jorna

Als projectmanager cyber security en A.I. kan ik de twee dingen doen die ik het leukst vind: mij volledig onderdompelen in de nieuwste ontwikkelingen op het gebied van cyber security en artificial intelligence én onze klanten en collega's met deze kennis verder helpen. Met onze klanten spar ik over de cyberrisico's voor hun onderneming en de gevolgen die een cyberaanval kan hebben. Mijn collega's houd ik up to date over de nieuwste ontwikkelingen over A.I., maar ook houd ik de kennis over cyberveiligheid up to date. Het beste van twee werelden!