Wat betekent de NIS2 voor jouw bedrijfsketen?

Recente posts

Waarom duurzaamheidscontrole belangrijk is voor ondernemers en hoe je het implementeert

Lees verder om te ontdekken waarom duurzaamheidscontrole belangrijk is voor ondernemers en welke risico's zij lopen bij het niet naleven van duurzaamheidsnormen in de toeleveringsketen. Ontdek ook welke voordelen duurzaamheidscontrole biedt en hoe ondernemers dit kunnen implementeren. Leer van succesvolle bedrijven die duurzaamheidscontroles hebben geïmplementeerd en investeer in een veerkrachtige, duurzame toeleveringsketen die jouw bedrijf beschermt en helpt te groeien.

Digitale soevereiniteit: een noodzaak voor ondernemend Nederland

Digitale soevereiniteit is een actueel onderwerp dat steeds meer aandacht krijgt. De afhankelijkheid van digitale systemen neemt toe en daarmee ook de risico's van digitale dreigingen. Het gaat hierbij om de controle over digitale infrastructuur en data, maar ook om de mogelijkheid om technologische ontwikkelingen te sturen en normen en waarden te bepalen. In dit blog lees je meer over de betekenis van digitale soevereiniteit, initiatieven vanuit de Europese Commissie en wat ondernemers kunnen doen om hun digitale soevereiniteit te vergroten.

Het beheer van het risico van ransomware in de digitale bedrijfsketen: hoe goede cybersecurity-hygiëne kan helpen

Het risico van ransomware in de digitale bedrijfsketen is een serieuze bedreiging voor organisaties die afhankelijk zijn van digitale systemen. Het verbeteren van de cybersecurity-hygiëne is daarom van cruciaal belang. Bedrijven moeten niet alleen hun eigen cybersecurity-hygiëne op orde hebben, maar ook die van hun derde partijen monitoren en beheren. In dit artikel delen we praktische tips en informatie over hoe jouw organisatie het risico van ransomware in de digitale bedrijfsketen kan verminderen en hoe RiskStudio kan helpen bij het beoordelen van de cybersecurity-hygiëne van derde partijen.

De risico's van een nalatig privacybeleid

Als bedrijf wil je zorgvuldig omgaan met persoonsgegevens om boetes en reputatieschade te voorkomen. Maar hoe zorg je ervoor dat je privacybeleid niet alleen op orde is, maar ook juist wordt nageleefd binnen het bedrijf? In deze blogpost bespreken we de gevolgen van een nalatig privacybeleid en nemen we de boete voor de SVB na gebrekkige identiteitscontrole als voorbeeld. Ook staan we stil bij een aantal aanbevelingen die vanuit autoriteiten worden meegegeven.

Meer

Wat betekent de NIS2 voor jouw bedrijfsketen?

EU NIS2 compliance cyber security supply chain

De NIS2-richtlijn is een nieuwe wetgeving van de Europese Unie die zich richt op het versterken van cybersecurity in verschillende sectoren, waaronder exploitanten van essentiële diensten en digitale dienstverleners. Vanaf oktober 2024 moeten bedrijven die onder de NIS2-richtlijn vallen, aan bepaalde minimale cybersecurity-eisen voldoen. Dit betekent dat bedrijven hun huidige beveiligingsniveau moeten beoordelen en een plan moeten ontwikkelen om te voldoen aan de richtlijn. Het is belangrijk om samen te werken met relevante belanghebbenden, regelgevende instanties en ketenpartners om ervoor te zorgen dat iedereen op de hoogte is van de vereisten. Lees in dit artikel meer over de impact van richtlijnen en vereisten.

Wat is de NIS2?

Cyberbeveiliging is een van de meest urgente kwesties van onze tijd. Digitale technologieën hebben een enorme impact op ons dagelijks leven, van financiën tot gezondheid en van vervoer tot energie. We zijn er sterk van afhankelijk en het belang ervan zal alleen maar toenemen in de toekomst. Helaas neemt ook het aantal cyberaanvallen gestaag toe. Overheden, ziekenhuizen, scholen en andere openbare instellingen worden vaak het doelwit van cybercriminelen. En met het groeiende aantal apparaten dat op het internet is aangesloten, wordt het risico alleen maar groter.

Om deze dreiging aan te pakken, heeft de Europese Unie de NIS2-richtlijn aangenomen. Deze richtlijn is op 16 januari 2023 in werking getreden en gaat veel verder dan de regelgeving inzake netwerk- en informatiebeveiliging (NIS), die sinds 2016 van kracht is. In de toekomst zullen tal van bijkomende sectoren en entiteiten als 'essentieel' of 'belangrijk' voor de economie en de samenleving worden beschouwd, ook openbare instellingen. Daarnaast zullen ook bedrijven met meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen euro onder de regelgeving vallen als zij cruciaal zijn.

Vanaf oktober 2024 – wanneer de richtlijn volledig in nationale wetgeving moet zijn omgezet – zullen alle 'essentiële bedrijven' aan bepaalde minimale cybersecurity-eisen voor hun systemen moeten voldoen. Deze omvatten concepten voor risicoanalyse, IT-beveiliging en toegangscontrole, alsook maatregelen om security-incidenten tegen te gaan en de bedrijfsvoering te waarborgen, met inbegrip van documentatie- en rapportageverplichtingen. De belangrijkste verandering is de mogelijkheid om sancties op te leggen. Bij niet-naleving kunnen verantwoordelijken persoonlijk aansprakelijk worden gesteld. Boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet liggen in het verschiet.

Impact van de regelgeving

Het is duidelijk dat de EU cybersecurity tot een topprioriteit maakt. Digitale infrastructuur is immers van cruciaal belang voor de economie en de samenleving. Veilige, betrouwbare informatiesystemen zijn een sleutelfactor voor de strategische onafhankelijkheid van de EU en voor de versterking van de soevereiniteit van Europa door een veilige digitale basis te creëren. Maar wat betekent dit voor bedrijven en openbare instellingen? En wat betekent het als je zakendoet met toeleveranciers of ketenpartners met essentiële activiteiten?

NIS2 richt zich op de gehele bedrijfsketen, dus ook op bedrijven die zelf geen essentiële activiteiten ontplooien, maar wel zakendoen met organisaties die onder die noemer vallen. Je zult dus in kaart moeten brengen of ketenpartners misschien in deze categorie vallen. Lever je software aan partijen als KPN of PostNL? Doe je zaken met een transporteur die ook medische apparatuur verscheept? Lever je hardware aan een kleine energieleverancier? In al die gevallen moet je voldoen aan NIS2.

Het is daarom belangrijk om de cybersecurity van jouw bedrijfsketen als geheel te bekijken. Dit betekent dat je niet alleen moet kijken naar de cybersecurity van jouw eigen bedrijf, maar ook naar je ketenpartners, oftewel leveranciers, producenten, logistieke dienstverleners, retailers en distributeurs.

Overigens, voor de NIS2 geldt niet waar je bent gevestigd, maar waar je activiteiten ontplooit. Biedt je bedrijf dus ergens in de Europese Unie diensten aan die onder essentiële activiteiten vallen, dan moet je voldoen aan de richtlijn. Ook wanneer je zaken doet met een niet-Europese partij die essentiële activiteiten uitvoert in de Europese Unie!

Aan de slag met de NIS2

Om te voldoen aan de NIS-richtlijn, moet je vertrouwd zijn met de specifieke vereisten ervan en begrijpen hoe deze van toepassing zijn op jouw organisatie. Het is belangrijk om het huidige beveiligingsniveau van je bedrijf te beoordelen en eventuele gebieden te identificeren die verbetering behoeven. Bekijk eens de Handreiking Cybersecuritymaatregelen van het Nederlands Cyber Security Centrum (NCSC), deze basismaatregelen gaan je zeker verder helpen om de basis op orde te krijgen.

Ontwikkel vervolgens een plan voor naleving, waarbij je mogelijk nieuwe beveiligingsmaatregelen moet nemen, bestaande maatregelen moet bijwerken of nieuw beleid en nieuwe procedures moet vaststellen. Overleg met relevante belanghebbenden, regelgevende instanties en ketenpartners om ervoor te zorgen dat zij op de hoogte zijn van de vereisten van de NIS2-richtlijn.

Ten slotte is het belangrijk om je nalevingsinspanningen regelmatig te controleren en te evalueren om te bepalen waar extra inspanningen nodig zijn. Onthoud dat naleving van de NIS2-richtlijn een continu proces is en dat het belangrijk is om up-to-date te blijven en jouw beveiligingsmaatregelen voortdurend te verbeteren.

Op zoek naar een complete to-do lijst en richtlijnen? Kijk dan op de website van Samen Digitaal Veilig, een initiatief van MKB-Nederland.

Gepubliceerd door RiskStudio

Mar 22, 2023