Hogere eisen voor Cyber Security voor MKB’ers
In 2023 gaat een nieuwe Europese Cyber Security-richtlijn in. Deze Europese wetgeving zal invloed hebben op MKB bedrijven die essentiële activiteiten uitvoeren of zaken doen met essentiële bedrijven. Wat zijn essentiële zaken of bedrijven, wat houdt deze richtlijn in en wat betekent dit voor jouw organisatie? Wij hebben dit voor je uitgezocht.
Wat is NIS2
De NIS2-richtlijn is de opvolger van NIS (Network and Information Security) (NIB netwerk en informatiebeveiliging in het Nederlands). NIS legt sinds 2016 regels op voor “essentiële bedrijven” zoals grote ondernemingen in vitale sectoren zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. In mei 2022 keurden het Europees Parlement en de EU-lidstaten de NIS2-richtlijn goed. NIS2 geldt voor meerdere sectoren en niet alleen voor grote organisaties, maar ook voor MKB bedrijven.
De Europese Unie wil bedrijven motiveren hun cybersecurity op orde brengen om cyberaanvallen te voorkomen. Dit omdat de dreiging de laatste jaren sterk is toegenomen en in de toekomst onze digitale maatschappij zou kunnen ontwrichten. Dit zien we bijvoorbeeld al bij de Russische aanvallen op Oekraïne.
Het is voor Europa ook van groot belang dat wij hier haast mee maken. President Biden ondertekende het Improving the Nations Cybersecurity wat strengere eisen aan Amerikaanse bedrijven stelt rondom cyber security. De cyberaanvallen zullen zich focussen op Europa wanneer de VS beter bestand is tegen cyberaanvallen. Dit was te zien in Nederland toen de banken de handen ineensloegen om fraude tegen te gaan. Binnen drie maanden zakte de aanvallen met 90 procent in Nederland, maar stegen juist in de landen om ons heen.
Wat betekent dit voor jouw onderneming?
De grootte van de onderneming maakt niet meer uit. Dat betekent voor kleine koeriersdiensten, datacenters en logistieke partijen dat de NIS2 richtlijnen in 2023 ook voor hen gelden.
1. Wat zijn ‘essentiële activiteiten’?
Valt jouw organisatie onder een van de volgende sectoren? Dan geldt NIS2 ook voor jou:
- transportsector
- gezondheidszorg
- bankensector
- financiële markten
- digitale infrastructuur
- drinkwatervoorziening
- rioolwaterafvoer
- energievoorziening
2. Met wie doe je zaken?
Ook wanneer je zelf niet werkzaam bent in een van de sectoren, maar wel samenwerkt met bedrijven die dit doen, geldt NIS2 voor jouw organisatie. Wanneer je producten levert aan een bedrijf in de transport sector, zaken doet met een logistieke partner of een dienst levert aan een organisatie in de zorgsector dien je jouw cyber veiligheid op orde te brengen.
3. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid
Voor NIS2 maakt het niet uit waar jouw bedrijf gevestigd is, maar waar je activiteiten uitvoert. Ieder bedrijf dat ergens in de EU diensten aanbiedt en ‘essentiële activiteiten’ uitvoert, zal zich aan de nieuwe richtlijn moeten houden. Wanneer je zaken doet met een niet-Europese partij moet je controleren of die partij in de EU essentiële activiteiten uitvoert.
Wat moet je regelen
Om de cyberveiligheid van jouw organisatie te verbeteren en te voldoen aan de NIS2 eisen dien je te werken aan:
- een risico-analyse
- incident handling procedures
- het nemen van migerende maatregelen
- business continuïteitsplannen in lijn met de vastgestelde risico’s
- training en bewustwording van het personeel
- beveiliging van de aanvoerketens
- meldingsplicht van beveiligingsincidenten
Het Cyber Security Centrum biedt de volgende adviezen aan met de volgende basismaatregelen rondom cybersecurity:
- Installeer software updates zodra deze beschikbaar zijn
- Zorg dat elke applicatie en elk systeem voldoende log informatie genereert
- Pas waar nodig multi factor authenticatie toe
- Maak regelmatig back ups van systemen
- Bepaal wie er toegang heeft tot data en systemen
- Versleutel opslagmedia met gevoelige bedrijfsinformatie
- Segmenteer netwerken
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
Maatregelen NIS2
Wanneer je je aantoonbaar niet aan de richtlijnen voldoet, wordt het senior management van jouw organisatie aansprakelijk gesteld. Hierna volgt een boete van 2% van je jaaromzet. “Waarom 2%? Bij een ransomware-aanval wordt vaak 2% van je jaaromzet geëist. Daarom komt straks de keuze: geef ik het aan die ransomware-aanvallers uit Rusland, geef ik het als boete aan de overheid of investeer ik dat bedrag in veiligheid en cybersecurity?” aldus Bart Groothuis, Europarlementariër voor de VVD vanuit Brussel.
Investeer nu in cyberveiligheid
Wanneer jij jouw cyberveiligheid professioneel hebt aangepakt zullen er niet veel wijzigingen in het beleid komen. Maar voor veel MKB bedrijven zullen er veranderingen moeten plaatsvinden. Heb jij vragen over jouw huidige cyberveiligheidsbeleid, of wil je tips om dit te verbeteren? Onze experts geven je graag advies.