De datum voor implementatie van de NIS2 stond op 17 oktober, maar die deadline is niet gehaald. Maar vroeg of laat komt ie toch en dan kun je maar beter goed voorbereid zijn. Met de NIS2-scan krijg je nu een goed inzicht in de huidige security status en weet je wat je moet doen om straks aan de wettelijke voorschriften te voldoen. Jan Kupers van Arrix vertelt er meer over.
“De NIS2 komt eraan, maar nu nog niet”, aldus Jan Kupers. NIS2 is de afkorting van ‘Netwerk- en Informatiebeveiligingsrichtlijn’, een Europese wet die binnen vitale sectoren de cybersecuritystandaarden moet verhogen en de reactie op incidenten moet verbeteren. Daarmee moeten veel bedrijven en organisatie de genomen en te nemen maatregelen rond cybersecurity heel kritisch onder de loep nemen. “Als de NIS2 eenmaal geïmplementeerd is, gaat er actief op gecontroleerd worden. Je kunt als bedrijf onaangekondigd bezocht worden. Op dat moment moet je kunnen aantonen dat je voldoet aan de NIS2. Zo niet, dan is de directie hoofdelijk aansprakelijk.” De boetes kunnen behoorlijk oplopen, dus het is zeker zaak om de implementatie uiterst serieus te nemen.
Voor welke bedrijven?
In een van onze eerdere blogs over de NIS2 vertelden we al om welke bedrijven het gaat. Resumé: het gaat om grote organisaties met meer dan 250 werknemers en/of een omzet van meer dan 50 miljoen euro. De NIS2 geldt voor de sectoren energie, vervoer, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, bankwezen, afvalwater, digitale infrastructuur, beheer van ICT-diensten (B2B), overheid en ruimtevaart. Daarnaast is er nog sprake van ‘belangrijke entiteiten’: grote of middelgrote organisaties met meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro. Dat kan gaan om bedrijven in de eerder genoemde sectoren, of om organisaties in de afvalstoffenbeheer, vervaardiging, vervaardiging, productie en distributie van chemische stoffen, post- en koeriersdiensten, digitale aanbieders, onderzoek en productie, verwerking en distributie van levensmiddelen.
Ook wij!
Als ICT-dienstverlener moeten wij als Arrix ook aan de regels van de NIS2 voldoen. Jan: “Daarnaast kunnen veel bedrijven ook indirect onder de wet vallen, omdat ze in de keten terechtkomen. Zo kunnen of zelfs moeten wij ook eisen stellen aan een leverancier. Immers, de NIS2 eist dat we eisen aan onze leveranciers stellen. Dat is wel even iets om goed in het oog te houden.” Om onze klanten zo goed mogelijk te helpen, hebben we een uitgebreide checklist opgesteld. Die lijst is opgesteld in samenwerking met een advocatenkantoor en een adviesbureau. “Het is een uitputtende lijst met vragen, het kost je anderhalf uur investering van je tijd, maar de scan is verder kosteloos. De uitkomst is een rapport dat goed inzicht geeft in de stand van zaken rondom cybersecurity en hoe zich dat verhoudt tot de eisen van de NIS2. Overigens is deze scan ook waardevol als je níet onder de NIS2 valt. Deze checklist of scan is ontwikkeld binnen de Futureproof Groep, waar Arrix ook onder valt.”
Noodzaak
De tijd begint te dringen: zoals het er nu voorstaat moeten essentiële bedrijven en organisaties per 1 juli 2025 aan de NIS2 voldoen. Jan: “Voordat je de checklist hebt doorgenomen en weet wat je moet doen, ben je al gauw een paar maanden verder. En dan moet je nog implementeren. Als je gecontroleerd wordt en je hebt de zaken niet in orde, dan heb je echt een probleem. Als je de zaken niet op orde hebt en het gaat mis in de beveiliging, dan zijn de gevolgen niet te overzien.” De NIS2 is inderdaad een stuk strenger dan zijn voorganger. Dat is niet voor niets: de bedreigingen zijn groter, het aantallen ransomware-aanvallen neemt toe en hackers uit het buitenland dringen binnen. NIS2 zegt ook veel over awareness en dat is een belangrijk punt: hoe bewust is een directie zich van de gevaren? Hoe herken je gevaren en hoe verhoudt zich dat tot een beschikbare middelen?
Dus: doe de scan!
Regel het nu! Doe de scan en krijg inzicht in je status van je cybersecurity. Vergeet niet dat de directie van een bedrijf of organisatie hoofdelijk aansprakelijk wordt gesteld als bij controle blijkt dat de NIS2-normen niet worden gehaald. Vraag de scan aan of neem contact op voor meer informatie.