In 2023 gaat een nieuwe Europese Cyber Security-richtlijn in. Deze Europese wetgeving zal invloed hebben op MKB bedrijven die essentiële activiteiten uitvoeren of zaken doen met essentiële bedrijven. In dit artikel lichten we doe wat de overheid onder essentiële zaken of bedrijven valt en wat de nieuwe richtlijn inhoudt.

‍

NIS2-richtlijn

In 2016 werd de NIS-richtlijn geïntroduceerd. Het legt regels op voor “essentiële bedrijven” zoals grote ondernemingen in vitale sectoren zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. De NIS2-richtlijn is de opvolger van NIS (Network and Information Security). In mei 2022 keurden het Europees Parlement en de EU-lidstaten de NIS2-richtlijn goed. Het verschil tussen NIS en NIS2 is dat NIS2 voor meerdere sectoren geldt, niet alleen voor grote organisaties en ook voor MKB bedrijven.

Met de NIS2-richtlijn wil de Europese Unie bedrijven motiveren hun cybersecurity op orde brengen. De toename van cyberdreiging is hier de oorzaak van. Onze digitale maatschappij zou ontwrichten kunnen worden door de nieuwe cyberaanvallen die de digitale wereld bedreigen. Dit zien we bijvoorbeeld al bij de digitale Russische aanvallen op Oekraïne.

Wat betekent dit voor jouw onderneming?

De grootte van de onderneming maakt voor NIS2 niet meer uit. De Kamer van Koophandel schreef een blog over bedrijven voor wie NIS2 gaat gelden en de uitzonderingen In 2023 gaan de NIS2 richtlijnen ook voor het MKB gelden die essentiële activiteiten uitvoeren of met partners werken die dit doen. Maar wat valt onder essentiële activiteiten? 

1. Wat zijn ‘essentiële activiteiten’?

Valt jouw organisatie onder een van de volgende sectoren? Dan geldt NIS2 ook voor jou:

• transportsector
• gezondheidszorg
• bankensector
• financiële markten
• digitale infrastructuur
• drinkwatervoorziening
• rioolwaterafvoer
• energievoorziening

2. Partners

Wanneer je zelf niet werkzaam bent in een van de bovengenoemde sectoren, maar wel samenwerkt met bedrijven die dit doen, geldt NIS2 voor jouw organisatie. Wanneer je producten levert aan een bedrijf in de transport sector, zaken doet met een logistieke partner of een dienst levert aan een organisatie in de zorgsector dien je jouw cyber veiligheid op orde te brengen.

3. Worden die essentiële activiteiten ergens in de Europese Unie ontplooid?

Voor NIS2 maakt het niet uit waar jouw bedrijf gevestigd is, maar waar je activiteiten uitvoert. Ieder bedrijf dat ergens in de EU diensten aanbiedt en ‘essentiële activiteiten’ uitvoert, zal zich aan de nieuwe richtlijn moeten houden. Wanneer je zaken doet met een niet-Europese partij moet je controleren of die partij in de EU essentiële activiteiten uitvoert.

Actie ondernemen

Het Cyber Security Centrum biedt de volgende adviezen aan met de volgende basismaatregelen rondom cybersecurity:

• Installeer software updates zodra deze beschikbaar zijn
• Zorg dat elke applicatie en elk systeem voldoende log informatie genereert
• Pas waar nodig multi-factor authenticatie toe
• Maak regelmatig back ups van systemen
• Bepaal wie er toegang heeft tot data en systemen
• Versleutel opslagmedia met gevoelige bedrijfsinformatie
• Segmenteer netwerken
• Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze

Ook kun je met Microsoft Security score de huidige score van jouw onderneming meten.

Maatregelen

Wanneer er aangetoont kan worden dat je niet aan de richtlijnen voldoet, wordt het senior management van jouw organisatie aansprakelijk gesteld. Hierna volgt een boete van 2% van je jaaromzet. “Waarom 2%? Bij een ransomware-aanval wordt vaak 2% van je jaaromzet geëist. Daarom komt straks de keuze: geef ik het aan die ransomware-aanvallers uit Rusland, geef ik het als boete aan de overheid of investeer ik dat bedrag in veiligheid en cybersecurity?” aldus Bart Groothuis, Europarlementariër voor de VVD vanuit Brussel.

Investeer nu in cyberveiligheid

Wanneer jij jouw cyberveiligheid professioneel hebt aangepakt zullen er niet veel wijzigingen in het beleid komen. Maar voor veel MKB bedrijven zullen er veranderingen moeten plaatsvinden. Heb jij vragen over jouw huidige cyberveiligheidsbeleid, of wil je tips om dit te verbeteren? Lees hier onze 8 tips voor het verbeteren van jouw cyber security, of neem contact op voor advies van onze experts.