Duizenden bedrijven dreigen klanten kwijt te raken als ze te laat aan de slag gaan met de implementatie van de Cyberbeveiligingswet (Voorheen NIS2 genoemd). “Voldoen aan de wet is een stap om je te bewapenen tegen cyberdreigingen.”
De deadline van implementatie op 17 oktober 2024 gaat Nederland niet meer halen. Wel werd onlangs een belangrijke stap gezet. Want op 3 juli publiceerde de regering de conceptuitwerking van de Europese NIS2-richtlijn. De richtlijn gaat nu door het leven als Cyberbeveiligingswet.
Net als AVG enkele jaren geleden roept de wet vragen op bij organisaties. Verschillende artikelen en informatiesessies, onder meer gepubliceerd in Techzine, besteedden er uitgebreid aandacht aan. De vraag blijft vaak: hoe zorgen organisaties ervoor dat ze klaar zijn voor de cyberbeveiligingswet? Thierry van Delden, Compliancy & Privacy Officer bij Infoland, legt uit dat enkel voldoen aan wetgeving niet genoeg is. Want ook al is Nederland te laat met heet vaststellen van de wet, het Europese kader gaat gewoon gelden in oktober.
Betere weerbaarheid
Cybersecurity is ontzettend belangrijk voor de bescherming van onze samenleving. Om die reden heeft de Europese Unie in 2016 de Network and Information Security Directive geïntroduceerd. Nu komt er dus een vernieuwde richtlijn – de Cyberbeveiligingswet – om de cyberveiligheid en de weerbaarheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren. De Cybersecuritywet moet ervoor zorgen dat de digitale en economische weerbaarheid van de EU-lidstaten beter wordt en wordt op dit moment omgezet naar nationale wetgeving.
Strategische stap
Anticiperen op de Cyberbeveiligingswet is niet alleen een kwestie van willen voldoen aan nieuwe wetgeving. “Voldoen aan de richtlijn is een strategische stap om je als organisatie goed te bewapenen tegen cyberdreigingen. En ook al is het niveau van je cybersecurity nog zo goed, je zal als je onder de wet valt een hoop aanvullende maatregelen moeten nemen,” stelt Van Delden.
Denk hierbij aan het opzetten van het beleid en de procedures waarmee je de meldplicht vormgeeft, maar ook het in kaart brengen en waarborgen van risico’s. Het gaat dan niet alleen om de beveiligingsrisico’s in je eigen organisatie. De wet beschrijft duidelijk dat je ook de veiligheid binnen je leveranciersketen moet waarborgen. Hiervoor kun je praktische risicomanagementsoftware gebruiken.
Label ‘essentieel’ of ‘belangrijk’
Welke maatregelen je moet nemen als de richtlijn ingaat, hangt af van welk label je organisatie krijgt: ‘essentieel’ of ‘belangrijk’. Voor essentiële of belangrijke organisaties gelden straks dezelfde eisen voor cybersecuritymanagement, ze hebben allemaal een zorgplicht. Het belangrijkste verschil tussen de twee labels is de mate van toezicht op het naleven van de regels.”
Essentiële organisaties vallen onder proactief toezicht. Er wordt dus actief gecheckt of zij de regels correct geïmplementeerd hebben én naleven. Belangrijke organisaties kunnen pas toezicht verwachten nadat er een cyberincident heeft plaatsgevonden, en alleen als hier aanwijzingen voor zijn.
Veel Nederlandse bedrijven hebben nog geen idee wat hen te wachten staat. Volgens Samen Digitaal Veilig heeft de nieuwe Europese richtlijn gevolgen voor ruim 50.000 Nederlandse bedrijven. Slechts een kleine minderheid is van de nieuwe eisen op de hoogte. Dit kan grote gevolgen hebben voor het Nederlandse bedrijfsleven.
De Rijksinspectie Digitale Infrastructuur heeft een zelf-evaluatietool uitgebracht waarmee je kunt checken of de wet van toepassing is op jouw organisatie. Ook zie je met de tool of je onder de categorie ‘essentieel’ of ‘belangrijk’ valt.
Gebruik software
Voor veel organisaties is er dus nog werk aan de winkel. Om aan de nieuwe wet te voldoen, zul je meer moeten doen. Awareness creëren onder medewerkers bijvoorbeeld, want het bewustzijn over de nieuwe regelgeving moet worden vergroot. Een andere, onmisbare manier om je organisatie klaar te stomen voor de Cyberbeveiligingswet, is het gebruik van software. Hiermee breng je makkelijker in kaart waar zich risico’s in je organisatie bevinden en koppel je maatregelen om je organisatie goed te beschermen.