Hoe NIS 2 ondernemers cybersecurity gaat verplichten
Als ondernemer kunt u niet meer onder het fenomeen uit: cybercrime. Er wordt zelfs gesproken van een heuse ransomware-pandemie. Zo registreerde de politie in 2021 14.000 cybercrimegevallen. Een toename van bijna een derde vergeleken met 2020, en drie keer meer dan 2019. Cybercriminelen bedenken steeds sneller nieuwe manieren om organisaties aan te vallen. Bedrijven klein en groot hebben eronder te leiden. Vaak doordat er geen preventieve maatregelen zijn genomen, ondanks Europese wetgeving om het te voorkomen. Zo werd NIS 1 geïntroduceerd, dat sinds 2018 voor essentiële bedrijven als water- en telecombedrijven geldt. De komst van NIS 2 moet daar verandering in brengen en heeft belangrijke gevolgen voor grote ondernemers én kleine mkb’ers. Wij vertellen u er graag meer over.
NIS staat voor netwerk- en informatiesysteem (Network and Information Security) en is de eerste EU-brede wetgeving op het gebied van cyberbeveiliging. Het specifieke doel van de Europese wetgeving, onderdeel van de cyberbeveiligingsstrategie van de Europese Commissie, was het tot stand brengen van een gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten. De eerste richtlijn werd in 2016 aangenomen en vanaf 2018 geldt NIS 1, dat tegenwoordig al verouderd is. Daar komt bij dat de wet niet gelijk is in elke Europese lidstaat en niet overal even strikt wordt toegepast. Ook niet in Nederland. Ruben: “De focus ligt bij veel bedrijven niet op informatiebeveiliging, omdat er niet echt gecontroleerd wordt. Grote ondernemers hebben een imago hoog te houden en voldoen wel. Bijvoorbeeld door het halen van het welbekende ISO 27001 certificaat. Maar kleine bedrijven laten het vaak na. Met alle gevolgen van dien.” De introductie van NIS 2 heeft als doel de wetgeving recht te trekken en risico’s in te dammen.
Wat is NIS 2?
In vergelijking met NIS 1 omvat NIS 2 verhoogde cybersecurity-eisen en merkt het meer organisaties aan als essentieel. Die bedrijven moeten voldoen aan hogere eisen dan voorheen en krijgen ook meer hulp van de overheid wanneer het wel misgaat. Bedrijven die onder NIS 2 vallen hebben meer dan vijftig medewerkers en meer dan tien miljoen in omzet in de sectoren afvalbeheer, afvalwater, bankwezen, chemie, digitale aanbieders, digitale infrastructuur, drinkwater, energie, financiële instellingen, gezondheid, industrie, postbedrijven, ruimtevaart, overheidsdiensten, vervoer en voeding. Ruben: “Maar let op: als u essentiële diensten verleent aan consumenten valt u ook onder het voorstel, ongeacht de omvang van uw organisatie.” Daar komt bij dat het nog niet helemaal duidelijk is wat er volgens essentieel wordt bedoeld met de nieuwe richtlijnen.
Toch actie ondernemen
Anders dan NIS 1, monitort de overheid wel of NIS 2 nageleefd wordt. Zo wordt u als ondernemer verantwoordelijk gehouden voor uw cybersecurity, niet uw IT-beheerder. U zult dus stappen moeten ondernemen om uw beveiliging op orde te brengen. Doet u dat niet en bent u na gewaarschuwd te zijn nog steeds nalatig, dan krijgt u volgens de nieuwe wet nu ook een boete.
NIS 2 zal hoogstwaarschijnlijk zijn intrede in 2023 doen. Er is dus nog voldoende tijd om actie te ondernemen. Maar essentieel bedrijf of niet, wij raden u ten alle tijden aan uw cybersecurity op orde te brengen. Voor een hacker maakt het namelijk niet uit. Als uw bedrijf lucratief lijkt te zijn, wordt er aangevallen, en dat heeft gevolgen. Ruben: “Voor een gemiddelde mkb’er geldt dat wanneer de bedrijfsvoering een week stil komt te liggen het aannemelijk is dat-ie failliet gaat. En vergeet ook niet de klanten, wiens gegevens op straat kunnen komen te liggen.”
Wat u nu al kunt doen
Hoe u voldoet aan de nieuwe richtlijnen van NIS 2 is nog niet helemaal duidelijk. Meer informatie volgt, maar we raden u in ieder geval aan de volgende preventieve maatregelen te nemen:
- Installeer software-updates zodra ze worden aangeboden;
- Zorg ervoor dat elke applicatie en elk systeem voldoende loginformatie genereert;
- Pas multifactorauthenticatie (2FA) toe waar nodig;
- Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten, bijvoorbeeld door Role Based Access Control (RBAC) in te richten;
- Segmenteer netwerken, zodat het totale bedrijfsnetwerk uit verschillende zones bestaat die niet zomaar gelijktijdig kunnen worden platgelegd;
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze met een firewall, anti-malware en virusscanner;
- Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons met gevoelige bedrijfsinformatie;
- Maak regelmatig back-ups van systemen en test deze ook.
Hoe ISP helpt
Het moge duidelijk zijn: NIS 2 komt eraan. Naast u op de hoogte te houden van de laatste ontwikkelingen van de nieuwe wetgeving kunnen we u alvast helpen met het nemen van de juiste maatregelen. Zo bieden we u verschillende diensten om uw cybersecurity op orde te krijgen. We kunnen een cyberrisicoanalyse doen, waarmee we potentiële gevaren voor uw organisatie in beeld brengen. Een audit informatiebeveiliging, waarbij we nagaan of uw organisatie voldoende beschermd is tegen informatielekken. En we kunnen u helpen met het opstellen van een handleiding informatiebeveiliging.
Neem voor meer informatie contact op met onze consultant, Ruben Gomes Faria. Hij helpt u graag verder.