Op Europees niveau wordt vanaf 17 oktober a.s. de nieuwe cybersecuritywet NIS2 van kracht en in 2022 heeft het Nederlandse kabinet haar Cybersecuritystrategie 2022-2028 gepresenteerd. Beide ontwikkelingen zijn nauw met elkaar verweven daar uit NIS2 Nederlandse wetgeving zal voortvloeien welke weer past binnen haar cybersecuritystrategie.
Wat betekent dit voor jouw organisatie?
Invloed van NIS2 op het MKB
De Europese wetgeving NIS2 zal resulteren in Nederlandse wetgeving waar in eerste instantie de als essentiële aangemerkte bedrijven mee te maken krijgen. Deze essentiële bedrijven zullen hierdoor genoodzaakt zijn ook strenge cybersecurity eisen te gaan stellen aan haar klanten en toeleveranciers wat zal leiden dat deze NIS2 wetgeving indirect voor veel meer bedrijven van invloed zal zijn dan de 5.000 essentiële bedrijven die rechtstreeks met NIS2 te maken hebben.
Check of jouw bedrijf ook aan de NIS2-richtlijn dient te voldoen
Via de rijksoverheid is er een zelfevaluatietool (NIS2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)) beschikbaar waarop je kunt controleren of jouw organisatie aan de NIS2-richtlijn dient te voldoen.
Veel informatie over NIS2 vind je op de website www.samendigitaalveilig.nl (een initiatief van MKB-Nederland en VNO-NCW).
Bestuurdersaansprakelijkheid
In NIS2 is ook vastgelegd dat als bedrijven aantoonbaar nalatig zijn geweest in het nemen van cybersecurity maatregelen bestuurders persoonlijk aansprakelijk worden gesteld en (tijdelijk) uit hun functie ontheven kunnen worden. Je bent dus als bedrijf verantwoordelijk voor je eigen digitale veiligheid en je kunt dit dus niet afschuiven naar je ICT dienstverlener. Als bedrijf zul je dus moeten kunnen aantonen welke maatregelen je hebt genomen en regelmatig deze maatregelen dienen te toetsen of ze nog voldoen.
Meer verantwoordelijkheid bij leveranciers/dienstverleners
Burgers en het MKB dienen zoveel mogelijk ontzorgd te worden wanneer het om digitale veiligheid gaat. De verantwoordelijkheid voor veilige diensten en producten komt binnen de nieuwe wetgeving dan ook zoveel mogelijk bij de (ICT) aanbieders te liggen die welke als gevolg hiervan met strengere eisen te maken krijgen.
Invoering NIS2
Alle bedrijven die ‘essentiële diensten’ leveren dienen vanaf 17 oktober 2024 te voldoen aan de nieuwe cybersecurity richtlijnen welke zijn vastgelegd in een nieuwe Europese cybersecuritywet, NIS2. NIS staat voor Netwerk- en Informatiesystemen. Vanaf 16 januari krijgen de Europese lidstaten 21 maanden de tijd om op basis van NIS2 een eigen wettelijke implementatie op te zetten die geldt voor hun land.
Op dit moment is de wet NIS1 actief, welke alleen geldt voor essentiële bedrijven zoals water- en telecombedrijven. In 2024 wordt NIS2 actief waarbij de cybersecurity-eisen verhoogd worden en meer organisaties als essentieel bedrijf worden aangemerkt. Vallen onder de NIS1 nog 200 bedrijven in Nederland, bij invoering van NIS2 zullen dat er zo’n 5.000 zijn.
Bij bedrijven maakt men een onderscheid tussen zeer kritieke en andere/overige kritieke sectoren waarbij de wetgeving geldt voor de middelgrote en grote bedrijven uit deze sectoren maar ook voor kleine bedrijven uit de zeer kritieke sector. Onder de overige kritieke sectoren vallen o.a. afvalstoffenbeheer bedrijven, bedrijven die zich bezig houden met vervaardiging van producten en bedrijven die levensmiddelen produceren, verwerken en distribueren. Voor een volledig overzicht zie de bijlagen I en II uit de nieuwe richtlijn van het Europees Parlement (zie bronvermeldingen).
Niet alleen het aantal sectoren is uitgebreid maar ook de beveiligingseisen voor bedrijven welke vallen onder deze sectoren zijn aangescherpt. Zo bevat de wetgeving voorschriften voor het handhaven van basale computerhygiëne, het trainen van medewerkers, asset management, toegangscontrole en procedures voor het melden van incidenten.
Bestuurders van de onder de NIS2 vallende bedrijven zijn zelf verantwoordelijk voor het nemen van afdoende maatregelen en kunnen dus niet meer verwijzen naar hun IT beheerpartij. Bij aangetoonde nalatigheid kunnen forse boetes worden opgelegd aan bedrijven, kunnen diensten van de betreffende bedrijven opgeschort worden en kunnen tijdelijke verboden opgelegd worden aan bestuursfuncties door een natuurlijk persoon.
Nederlandse Cybersecuritystrategie 2022-2028
In oktober 2022 heeft het kabinet haar cybersecuritystrategie voor 2022-2028 gepresenteerd. De onderliggende visie voor deze strategie is dat digitale veiligheid voor iedereen een vanzelfsprekendheid dient te zijn.
Vanuit deze visie zijn een aantal strategische keuzes gemaakt. Een aantal van deze keuzes zijn:
- De overheid pakt de regie. Dat betekent centraal waar kan, decentraal/sectoraal waar dat moet.
- Iedereen in Nederland moet gewaarschuwd kunnen worden die (mogelijk) slachtoffer wordt of doelwit is van een cyberaanval.
- Ten aanzien van wet- en regelgeving waar Europese wet- en regelgeving waar kan, aanvullende nationale wet- en regelgeving waar dat moet. Cybersecuritymaatregelen en eisen zijn proportioneel, en worden gedifferentieerd naar het belang dat organisaties vertegenwoordigen en hun mate van volwassenheid. Het MKB wordt zoveel mogelijk ontzorgd.
- Digitale risico’s voor burgers en bedrijven worden zoveel mogelijk verkleind door verantwoordelijkheden voor de veiligheid van digitale producten en diensten bij burgers en bedrijven weg te nemen en neer te leggen bij de overheid, producenten en dienstverleners.
Om de visie te realiseren zijn doelen geformuleerd langs vier pijlers:
- Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties.
- Veilige en innovatieve digitale producten en diensten.
- Tegengaan van digitale dreigingen van staten en criminelen.
- Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers.
Onderstaand per pijler de toelichting en de geformuleerde doelen.
Het vorige kabinet heeft 95 miljoen structureel geïnvesteerd in de versterking van digitale weerbaarheid. Dit kabinet investeert een extra 111 miljoen structureel in cybersecurity.
Bronvermeldingen
Dit artikel is mede gebaseerd op de volgende bronnen:
- Website Kvk Europese cyberwetten: dit gaan ze voor je bedrijf betekenen (kvk.nl).
- RICHTLIJN (EU) 2022/2555 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 (L_2022333NL.01008001.xml (europa.eu)
- Definitieve tekst van verreikende Europese securitywet NIS2 gepubliceerd – AG Connect
- Nederlandse Cybersecuritystrategie 2022-2028 (overheid.nl)