De NIS2-richtlijn voor MKB-organisaties: Wat je moet weten

Marc Ligthart

Gepubliceerd op 05-07-2024

---

De NIS2-richtlijn voor MKB-organisaties: Wat moet je weten

Cybersecurity is hot en de NIS2-richtlijn is de nieuwste Europese wetgeving die hierop inspeelt. Deze richtlijn is ontworpen om de cyberbeveiliging binnen de EU te versterken en bouwt voor top de oorspronkelijke NIS-richtlijn met extra sectoren en striktere maatregelen. MKB-organisaties moeten extra beveiligingsmaatregelen treffen voor de veiligheid van hun eigen organisatie, de keten waarin ze werken, en hun klanten. Ook is er een meldplicht: incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder.

Wat betekent de NIS2-richtlijn voor jouw organisatie?

De NIS2-richtlijn helpt MKB-organisaties hun cyberbeveiliging te verbeteren en biedt bescherming tegen de steeds groeiende dreigingen. Door te voldoen aan deze richtlijn, waarborg je niet alleen de continuïteit van je bedrijf, maar behoud je ook het vertrouwen van klanten en partners. De belangrijkste verplichtingen zijn:

1. Risicobeheer en beoordeling
   Een doorlopend risicobeheerproces is essentieel voor het identificeren, beoordelen en beheren van potentiële bedreigingen en kwetsbaarheden. Dit omvat regelmatige risicobeoordelingen en het documenteren en accepteren van resterende risico’s op basis van rationele besluitvorming.
2. Incidentbeheer en meldingsplicht
   Het opstellen en implementeren van gedetailleerde procedures voor het melden en reageren op cybersecurity-incidenten is cruciaal. Dit omvat het tijdig melden van incidenten aan bevoegde autoriteiten en het samenwerken bij incidentrespons om de impact te minimaliseren.
3. Beveiliging van ICT-systemen
   Schrijf en handhaaf duidelijke procedures voor de beveiliging van communicatie- en informatiesystemen, zoals computers, servers, netwerken, software en mobiele apparaten. Zorg voor adequate beveiliging door het regelmatig bijwerken van software en het implementeren van maatregelen zoals antivirus- en antimalwareprogramma’s en versleuteling, om ze effectief te houden tegen nieuwe dreigingen.
4. Personeelsopleiding en bewustwording
   Het bieden van uitgebreide training en het vergroten van het bewustzijn van personeel over cybersecurity is essentieel. Dit zorgt ervoor dat personeel bekwaam is in het toepassen van cybersecurity-maatregelen en bewust is van de risico’s en best practices.
5. Beheer van onderleveranciers
   Beheer de risico’s van onderaannemers en onderverwerkers. Zorg dat alle derde partijen voldoen aan NIS2-normen door gedetailleerde voorwaarden voor onderaanneming en onderverwerking vast te leggen.

Uitgebreide bescherming voor meer sectoren

De NIS-richtlijn beschermde al sectoren zoals energie, transport en gezondheidszorg. De NIS2-richtlijn voegt daar nu sectoren aan toe zoals:

• Publieke administratie
• Chemische industrie
• Voedselproductie
• Digitale infrastructuur (bijv. datacenters, netwerkproviders)
• Ruimtevaart

Implementatie in Nederland

In Nederland wordt de NIS2-richtlijn geïmplementeerd via de Cyberbeveiligingswet, die momenteel in ontwikkeling is door het Ministerie van Justitie en Veiligheid. Dit betekent dat organisaties zich moeten voorbereiden op nieuwe wettelijke verplichtingen en hun beveiligingspraktijken dienovereenkomstig moeten aanpassen.

Waar te beginnen?

Voer een zelfevaluatie uit om te beoordelen of de NIS2-richtlijn van toepassing is op jouw organisatie. Dit kan via de Rijksoverheid: zelfevaluatie NIS2-richtlijn.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) raadt voor organisaties die onder de NIS2-richtlijn vallen de volgende stappen aan:

1. Maak een uitgebreide risicoanalyse en -beoordeling: Analyseer de fysieke en digitale risico’s die je dienstverlening kunnen verstoren.
2. Neem maatregelen: Implementeer waar mogelijk maatregelen die je organisatie beter beschermen tegen deze risico’s.
3. Zorg voor procedures: Ontwikkel procedures om incidenten te detecteren, monitoren, oplossen en melden.

Door deze stappen te volgen, kun je als MKB-organisatie niet alleen voldoen aan de NIS2-richtlijn, maar ook een stevige basis leggen voor een veerkrachtige en veilige digitale toekomst.

Meer informatie is te vinden op de website van het Digital Trust Center van het Ministerie van Economische Zaken en Klimaat. Zie hier het NIS2-startpunt.