Is uw bedrijf digitaal weerbaar conform de NIS2-richtlijn: wat is de laatste stand van zaken?

Steeds vaker horen we verhalen over cyberaanvallen die organisaties of instanties ontregelen. De Autoriteit Persoonsgegevens heeft in haar jaarlijkse overzicht van datalekmeldingen in Nederland een duidelijke waarschuwing afgegeven: onderschat de risico’s van cyberaanvallen niet.

Om de dreiging en gevolgen van cyberaanvallen zoveel mogelijk te beperken, heeft de Europese Unie de ‘’Network and Information Security’’ (NIS-2) richtlijn ingevoerd. Deze richtlijn is ontworpen om de digitale en economische weerbaarheid van Europese lidstaten te verbeteren.

Naar verwachting zal de internetconsultatie van deze richtlijn in mei 2024 van start gaan. Vervolgens moet de NIS2-richtlijn uiterlijk op 17 oktober 2024 zijn omgezet in nationale wetgeving. Organisaties die onder de reikwijdte van de NIS2-richtlijn vallen, moeten al op 18 oktober 2024 (!) maatregelen hebben geïmplementeerd.

Hoe kan uw bedrijf zich voorbereiden op de komst van de NIS2-richtlijn?

  1. Vooruitlopend op de komst van de nationale wetgeving is het van belang om eerst na te gaan of u onder deze nieuwe richtlijn valt. Dit kunt u doen door:
  • De NIS2-Zelfevaluatie tool van de Rijksinspectie Digitale Infrastructuur te gebruiken. Hiermee kan een organisatie inschatten of zij onder de NIS2-richtlijn valt en of zij gezien wordt als belangrijk of als essentieel (begrippen uit de richtlijn).
  • Een NIS2-QuickScan te doen. Deze Quickscan is ook afkomstig van de Rijksoverheid en is met name bedoeld voor ICT- en cybersecurityspecialisten en verantwoordelijken binnen organisaties. De QuickScan bevat 40 ja/nee vragen. Per thema in de QuickScan worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
  • Het wel of niet onder de NIS2-richtlijn vallen blijft een kwalificatievraagstuk die u het beste bij een expert kunt neerleggen als u twijfels heeft.
  1. Het is verstandig om budget en capaciteit te reserveren om aan de richtlijn te voldoen. Denk aan capaciteit bij uw IT officer of compliance officer of huur een externe expert in.
  2. De Rijksoverheid adviseert organisaties om de wetgeving niet af te wachten. Indien uw organisatie vermoedelijk of zeker onder de NIS2-richtlijn zal vallen, kunt u zich alvast voorbereiden op uw zorgplicht door maatregelen te nemen die de veiligheid en weerbaarheid van uw processen en diensten verbeteren. Denk bijvoorbeeld aan het opstellen van een incidentenregister, het vóóraf inventariseren en analyseren van bedrijfs- en systeem specifieke risico’s, het opstellen van protocollen voor crisisbeheersing (incident response plan), het identificeren van alternatieve toeleveringsketens, bewustwording van personeel (trainingen) van risico’s en te nemen beveiligingsmaatregelen. Heeft uw bedrijf ISO certificering 270001? Dan zal die certificering dit al in principe bewerkstelligen.

Mocht u advies of hulp nodig hebben bij de kwalificatie of u onder de NIS2 valt en bij de toepassing van deze nieuwe richtlijn, schroom dan niet om ons te contacteren via 020-345 0152 of info@thelegalcompany.nl

mr. Hella Vercammen