Er is een nieuwe Europese richtlijn voor cybersecurity in de maak: NIS2. En die raakt niet alleen grote bedrijven, maar ook het mkb. Wat betekent de nieuwe cybersecurity-richtlijn voor jouw organisatie? En hoe zorg je dat je er klaar voor bent?
NIS2: bredere focus dan NIS
Security is belangrijker dan ooit: cybercriminelen richten wereldwijd jaarlijks voor vele miljarden dollars aan schade aan. Los van de economische gevolgen, is er natuurlijk de maatschappelijke impact. Want in onze verbonden wereld zijn we erg kwetsbaar voor cyberaanvallen, ze kunnen onze samenleving ernstig ontwrichten. Denk alleen al aan de energietoevoer, telecommunicatie of watervoorziening. Op dit soort kritische sectoren richtte NIS zich vooral. NIS (dat staat trouwens voor Network and Information Security) is de voorganger van NIS2. Met NIS2 pakt de Europese Unie het nu breder aan: ook jouw bedrijf zou wel eens onder deze nieuwe cybersecurity-richtlijn kunnen vallen.
NIS2 kijkt naar het belang van je activiteiten
Wat gaat er dan precies veranderen? NIS2 geldt straks voor veel meer organisaties, in veel meer sectoren dan NIS. De grootte van je organisatie doet niet meer zozeer ter zake, het gaat erom hoe essentieel je activiteiten zijn. Behalve naar je eigen activiteiten wordt bij NIS2 óók gekeken naar de activiteiten van alle organisaties waar je zaken mee doet. Zit daar een essentieel bedrijf tussen, dan moet jouw onderneming net zo goed aan de eisen van NIS2 voldoen. Verder is het niet langer relevant waar je gevestigd bent, maar waar je je activiteiten uitvoert. Ben je als bedrijf actief in de Europese Unie, dan val je onder de bepalingen van NIS2.
Hoge boetes en strenge naleving NIS2
De verwachting is dat NIS2 in de loop van 2023 in werking treedt. Moet je onderneming aan de nieuwe cybersecurity-richtlijn voldoen, maar blijf je in gebreke? Dan loop je kans op een forse boete. Die boete kan oplopen tot twee procent van je wereldwijde omzet, met een maximum van tien miljoen euro. Maar je kunt ook vergunningen kwijtraken of een schorsing van je management opgelegd krijgen. Bovendien is de Europese Unie van plan streng te handhaven.
Basismaatrelen voor cybersecurity nemen
Met NIS2 voert de Europese Unie de druk behoorlijk op. Het loont dus zeker de moeite om te onderzoeken of jouw bedrijf onder de nieuwe richtlijn valt. Wat moet je doen als dit het geval is? Het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid geeft een aantal adviezen voor basismaatregelen op het gebied van cybersecurity:
1. Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert.
2. Pas multifactor authenticatie toe waar nodig.
3. Bepaal wie toegang heeft tot je data en diensten.
4. Segmenteer netwerken.
5. Versleutel opslagmedia met gevoelige bedrijfsinformatie.
6. Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm ze.
7. Maak regelmatig back-ups van je systemen en test ze.
8. Installeer software-updates.
Samen cyberrisico’s minimaliseren
Deze maatregelen helpen je onderneming om zich voor te bereiden op de nieuwe richtlijn. Je neemt ze echter niet alleen om een megaboete te voorkomen. Want een cyberaanval kan je bedrijf veel schade opleveren. Niet alleen doordat je activiteiten stil kunnen komen te liggen, maar ook doordat je bedrijfsreputatie wordt aangetast. En dan is er nog zoiets als het algemeen belang. NIS2 benadrukt eens te meer hoe belangrijk het is dat elk bedrijf z’n bijdrage levert aan het minimaliseren van cyberrisico’s en het beschermen van onze maatschappij.
Altijd, overal en op ieder apparaat veilig met elkaar werken.