Boetes, meldingen en aansprakelijkheid: waarom nieuwe Europese cyberregelgeving ook jouw bedrijf raakt

Sinds januari is de nieuwe Europese richtlijn NIS2 van kracht, waardoor bedrijven die als vitaal gezien worden, zoals watervoorziening, gezondheidszorg, post- en koeriersbedrijven en alle MSP's (ICT-dienstverleners), nu verplicht zijn maatregelen te treffen om hun digitale beveiliging te verbeteren.

NIS2 is een Europese securityrichtlijn die lidstaten tot september 2024 de tijd geeft hier regionale wetgeving op te maken. Het duurt dus nog even voordat het in de Nederlandse wetgeving is vastgelegd. Wel is duidelijk dat NIS2 voor veel meer bedrijven van toepassing gaat zijn dan NIS1, die in 2016 van kracht werd in de Wet Beveiliging Netwerk en Informatiesystemen. De wetgeving is verder aangescherpt en gaat nu ook over alles wat om vitale infrastructuur heen zit. Ook deze 'gewone' bedrijven zijn kwetsbaar voor cyberaanvallen en kunnen grote schade oplopen als hun systemen niet goed beveiligd zijn.

NIS2 is belangrijk voor álle bedrijven

De NIS2-richtlijn is dus niet langer alleen van toepassing op de ruim honderd bedrijven die als essentieel of belangrijk zijn aangemerkt, maar eigenlijk voor ieder bedrijf dat met informatiesystemen werkt. Want door de toenemende digitalisering heeft vrijwel ieder bedrijf te maken met cyberdreigingen waardoor de bescherming van informatie steeds belangrijker wordt.

Bedrijven die niet actief met cybersecurity bezig zijn, hebben met de introductie van de NIS2-richtlijn een duidelijke aanleiding om hiermee aan de slag te gaan. Bedrijven moeten hun beveiliging op orde hebben en dit kunnen aantonen. Het is van belang dat bedrijven de risico’s kennen, adequate maatregelen treffen en een continuïteitsplan hebben. Hiervoor zijn in de richtlijn een aantal maatregelen aangegeven zoals security in toeleveringsketens, toegangscontrole en encryptie.

Aansprakelijkheid en meldplicht voor bestuurders

Nieuw in NIS2 is dat alle bestuurders wettelijk bevoegd zijn om securitymaatregelen te nemen. Dit betekent dat de cfo bijvoorbeeld niet meer tegen kan houden dat de cmo budget vrijmaakt voor het uitvoeren van pentesten, waarbij een aanval wordt gesimuleerd. Bij grove nalatigheid zijn alle bestuurders persoonlijk verantwoordelijk en hoofdelijk aansprakelijk.

Daarnaast worden bedrijven die onder de NIS2-wetgeving vallen verplicht om binnen 24 uur een melding te maken van alle incidenten waardoor zij geen dienstverlening meer kunnen uitoefenen. Ook zijn zij verplicht binnen een maand, na het afhandelen van het incident, een rapportage aan te leveren.

NIS2 bevat ook een boeteclausule

De NIS2 bevat ook een boeteclausule voor bedrijven. Voor bedrijven die als essentieel zijn aangemerkt, kan dit oplopen tot 10 miljoen euro of 2 procent van de totale jaaromzet. Voor bedrijven die als belangrijk worden beschouwd, kan de boete oplopen tot 7 miljoen euro of 4 procent van de jaaromzet. Zeker met het oog op deze boeteclausule is het voor bedrijven belangrijk te weten of zij moeten voldoen aan de NIS2. Er is echter geen kant-en-klare lijst waarin staat welke bedrijven hieronder vallen. Bedrijven zullen daarom zelf moeten kijken of zij aan de criteria voldoen.

Europese lidstaten kunnen ervoor kiezen bepaalde sectoren uit te sluiten van de NIS2-wetgeving, bijvoorbeeld wanneer een bedrijf minder dan vijftig medewerkers heeft of als een bedrijf een jaaromzet heeft van minder dan 10 miljoen euro. Of er uitzonderingen komen, voor zzp’ers bijvoorbeeld, moet dus nog blijken. Wel is het belangrijk te weten dat het aan bedrijven zelf is om in te schatten of zij onder de NIS2-wetgeving vallen en daarmee aan de gestelde eisen moeten voldoen. Wanneer je geen actie onderneemt omdat je niet wist dat je aan de wet moest voldoen, word je dus gewoon beboet.

Het is goed dat NIS2 bedrijven verplicht om actief met cybersecurity-maatregelen aan de slag te gaan en hun weerbaarheid te vergroten. Ook voor bedrijven die niet onder de specifieke sectoren vallen die als essentieel of belangrijk zijn aangemerkt, is deze richtlijn een goede houvast om hun cyberbeveiliging op orde te krijgen en bij te dragen aan een Nederland dat beter bestand is tegen cyberbedreigingen.

Aan de slag met jouw securitystrategie

Omdat het ontwikkelen en implementeren van een securitystrategie vaak wel minstens een jaar kost is het verstandig nu alvast aan de slag te gaan. De eerste stap hierin is het in kaart brengen van de risico's. Dit kun je doen aan de hand van een risico-analyse, waarbij je kijkt naar de actuele dreigingen waarmee je te maken kunt krijgen. Elk risico dient vervolgens te worden beoordeeld met een risicoscore op basis van de impact en de kans. Op deze manier kun je identificeren welke risico's het grootst zijn. Op basis van deze risico’s maak je een roadmap van maatregelen die genomen moeten worden om de grootste risico's tot een acceptabel niveau te brengen.

Stel dat het grootste risico voor jouw bedrijf inkomstenderving is als gevolg van een grootschalige ransomware-aanval, dan zou de roadmap kunnen voorstellen om binnen twee maanden tweestapsverificatie in te schakelen en endpoint protection uit te rollen. Dat laatste beveiligt apparaten van eindgebruikers, zoals mobiele apparaten, laptops, desktop-pc’s en servers. Binnen zes tot negen maanden zou je kunnen werken aan een continuïteitsplan en binnen een jaar zou je ook aansluiting willen hebben bij een SOC (Security Operations Center), bijvoorbeeld. Op deze manier kun je proactief inspelen op de vereisten van de NIS2-wetgeving en voorkom je dat je achter de feiten aanloopt.