De digitale wereld is de ruggengraat van onze economie geworden. Om deze ruggengraat te beschermen, heeft de Europese Unie de NIS2-richtlijn in het leven geroepen. Deze wetgeving is veel strenger dan de voorganger en raakt duizenden extra bedrijven in Nederland.
Wat is NIS2 en wie valt eronder?
NIS2 is bedoeld om de cyberweerbaarheid van de EU te verhogen. Waar de eerste NIS-wet alleen gold voor vitale sectoren zoals energie en banken, vallen onder NIS2 nu ook sectoren als afvalwater, levensmiddelen, koeriersdiensten en de maakindustrie.
- Essentiële entiteiten: Grote bedrijven in kritieke sectoren.
- Belangrijke entiteiten: Middelgrote bedrijven (50+ medewerkers of >10 miljoen omzet) in geselecteerde sectoren.
- Toeleveranciers: Zelfs als je niet direct onder de wet valt, kunnen klanten NIS2-eisen aan jou stellen.
De 5 Belangrijkste Maatregelen om te Voldoen
1. Risicobeheer en Beleid
Je moet aantoonbaar beleid hebben voor informatiebeveiliging. Dit begint bij een risicoanalyse: waar zitten je zwakke plekken? NIS2 vereist plannen voor bedrijfscontinuïteit bij een grootschalige aanval.
2. Beveiliging van de Toeleveringsketen
Je bent medeverantwoordelijk voor de veiligheid van je leveranciers en partners. Stel eisen aan de cybersecurity van partijen waarmee je data deelt.
3. Incidentbeheer en Meldplicht
Bij een significant incident moet je dit binnen 24 uur melden bij de bevoegde autoriteit (in Nederland: het NCSC of de sectorale toezichthouder). Niet melden is een overtreding op zichzelf.
4. Toegangsbeheer en Encryptie
Implementeer strikte toegangscontrole. Pas het principe van “least privilege” toe: elke medewerker heeft alleen toegang tot wat strikt noodzakelijk is voor zijn of haar functie. Versleutel gevoelige data.
5. Opleiding en Bewustwording
NIS2 vereist aantoonbaar dat medewerkers worden getraind op cyberveiligheid. Regelmatige phishing-simulaties en security awareness trainingen zijn hierbij essentieel.
Conclusie
NIS2 is geen papieren tijger. De boetes kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet. Begin nu met een risicoanalyse en documenteer je maatregelen.