In oktober van dit jaar treedt de NIS2-regelgeving in werking. Deze regelgeving is van toepassing op sectoren en diensten die van vitaal belang zijn voor de maatschappij, de lidstaten of de Europese Unie, en vereist dat er voldoende bescherming is tegen cyberaanvallen. NIS2 is gericht op middelgrote (+50 werknemers of een omzet van +10 miljoen euro) en grote bedrijven (+250 werknemers of een omzet van +50 miljoen euro) in een aantal kritieke sectoren. KMO’s kunnen echter ook de impact hiervan ondervinden als zij toeleverancier zijn van deze organisaties.
NIS2-regelgeving
NIS2 is de afgekorte naam van de EU Directive on Security of Network and Information Systems, die tot doel heeft de digitale infrastructuur te beschermen. Deze regelgeving verplicht essentiële en belangrijke entiteiten om passende beveiligingsmaatregelen te nemen en incidenten te melden. In de NIS2-regelgeving zijn er 2 annexen opgenomen die bepalen welke bedrijven en sectoren als belangrijk of essentieel moeten worden beschouwd. Voorbeelden van sectoren zijn energie, gezondheidszorg, transport, ICT service management, chemie, voeding, manufacturing, … Via onze self-assessment kan je nagaan of jouw organisatie aan NIS2 moet voldoen of niet.
NIS2 beoogt de weerbaarheid tegen cyberdreigingen te versterken en de algehele digitale veiligheid in Europa te waarborgen. Een aantal aspecten die hieronder vallen zijn onder andere:
- Het opzetten van een degelijk risicobeheer en securitybeleid, inclusief het evalueren van de effectiviteit van het beleid;
- Een adequate netwerkbeveiliging met een goed functionerende monitoring;
- Een efficiënt incidentbeheer waarbij meldingsplicht geldt naar autoriteiten binnen de 72 uur;
- Het garanderen van bewuste en getrainde interne en externe medewerkers als het gaat over cyberveiligheid binnenin en extern aan een organisatie;
- Een plan voor het beheren van de bedrijfsvoering tijdens en na een beveiligingsincident (ook gekend als: business continuity management);
- Beveiliging rond de “supply chain” en de relatie tussen het bedrijf en de toeleveranciers.
Vooral de laatste twee punten zijn van belang voor KMO’s. Als toeleverancier van een organisatie die onder de NIS2-regelgeving valt, heeft een KMO een niet te onderschatten verantwoordelijkheid op te nemen.
Waarom zijn deze aspecten cruciaal voor KMO's?
- Continuïteit van dienstverlening: Een toeleverancier moet in staat zijn om snel te reageren op incidenten en de dienstverlening te handhaven om zijn klant toe te laten aan de vereisten van NIS2 te voldoen.
- Risicobeheer: Door deze risico’s in kaart te brengen en passende maatregelen te nemen, kan een toeleverancier proactief de impact van potentiële cyberdreigingen verminderen.
- Ketenafhankelijkheid: Toeleveranciers zijn vaak afhankelijk van verschillende schakels in de toeleveringsketen van hun klant en hun eigen ketens. Ze zijn als dusdanig “slechts” een schakel in de volledige ketting.
- Wet- en regelgeving naleving: NIS2 vereist dat toeleveranciers passende beveiligingsmaatregelen nemen. Als toeleverancier word je dus ook verwacht om te voldoen aan de wettelijke vereisten en je voor te bereiden op eventuele controles of audits.
- Kostenbeheersing: Een goed voorbereide toeleverancier kan helpen de kosten van cyberincidenten te beheersen voor zijn klant en zichzelf door de impact te verminderen en het herstelproces te stroomlijnen.
Moet ik dan als KMO ook de volledige NIS2-regelgeving naleven?
Logischerwijs komt de vraag naar boven: “Moet ik dan als KMO ook de volledige NIS2-regelgeving naleven?”. Middelgrote bedrijven (+50 medewerkers of +10 miljoen euro omzet) actief in Annex 1 of Annex 2 van NIS2 (bv. transport, digitale infrastructuur en ICT service management) zullen als belangrijk gezien worden en zullen aan de vereisten van NIS2 moeten voldoen. In uitzonderlijke gevallen zullen ook kleine organisaties onder het toepassingsgebied vallen, bijvoorbeeld DNS service providers. Ontdek het via onze self-assessment.
KMO’s die diensten leveren aan essentiële of belangrijke organisaties, moeten uiteraard niet zo ver gaan. Echter, een goed doordacht cyberbeleid met passende procedures, toezicht en technische maatregelen is essentieel om te voorkomen dat ze de zwakste schakel in de keten worden. Daarnaast zullen klanten die aan NIS2 moeten voldoen, verhoogde cybersecurity eisen opleggen aan haar toeleveranciers. Het behalen van een ISO27001-certificaat kan hierbij van grote hulp zijn om aan klanten en toezichthouders voldoende security maturiteit te kunnen aantonen.
Moet jouw organisatie voldoen aan NIS? Ontdek via onze self-assessment kosteloos of jouw organisatie zal moeten voldoen aan NIS2 vereisten.
NIS2, is jouw organisatie er klaar voor?Download onze whitepaper om meer te weten te komen over NIS2 en hoe dit jouw organisatie impacteert.
Ontdek alles over de NIS2-regelgeving, inclusief het verloop van een NIS2-traject, de partijen die eraan moeten voldoen en de consequenties bij het niet naleven ervan.