Slot-blog
Slot-blog
12 januari 2023

Leestijd: 4 minuten

Nieuwe (Europese) wetgeving cybersecurity voor MKB

Door de aanhoudende grote dreiging van cyberaanvallen op overheden en bedrijfsleven wordt er steeds meer beleid en wetgeving  ontwikkeld door zowel de Europese als Nederlandse overheid om burgers en bedrijven te beschermen. 

Op Europees niveau is onlangs de nieuwe cybersecuritywet NIS 2 aangenomen en in het afgelopen jaar heeft het Nederlandse kabinet haar Cybersecuritystrategie 2022-2028 gepresenteerd.  Beide ontwikkelingen zijn nauw met elkaar verweven daar uit NIS 2 Nederlandse wetgeving zal voortvloeien welke weer past binnen haar cybersecuritystrategie.  

Wat betekent dit voor jouw organisatie? 

Invloed van NIS 2 op het MKB 

De Europese wetgeving NIS 2 zal resulteren in Nederlandse wetgeving waar in eerste instantie de als essentiële aangemerkte bedrijven mee te maken krijgen.  Deze essentiële bedrijven zullen hierdoor genoodzaakt zijn ook strenge cybersecurity eisen te gaan stellen aan haar klanten en toeleveranciers wat zal leiden dat deze NIS 2 wetgeving indirect voor veel meer bedrijven van invloed zal zijn dan de 5.000 essentiële bedrijven die rechtstreeks met NIS 2 te maken hebben. 

Bestuurdersaansprakelijkheid 

In NIS 2 is ook vastgelegd dat als bedrijven aantoonbaar nalatig zijn geweest in het nemen van cybersecurity maatregelen bestuurders persoonlijk aansprakelijk worden gesteld en (tijdelijk) uit hun functie ontheven kunnen worden. Je bent dus als bedrijf verantwoordelijk voor je eigen digitale veiligheid en je kunt dit dus niet afschuiven naar je ICT dienstverlener. Als bedrijf zul je dus moeten kunnen aantonen welke maatregelen je hebt genomen en regelmatig deze maatregelen dienen te toetsen of ze nog voldoen. 

Meer verantwoordelijkheid bij leveranciers/dienstverleners 

Burgers en het MKB dienen zoveel mogelijk ontzorgd te worden wanneer het om digitale veiligheid gaat. De verantwoordelijkheid voor veilige diensten en producten komt binnen de nieuwe wetgeving dan ook zoveel mogelijk bij de (ICT) aanbieders te liggen die welke als gevolg hiervan met strengere eisen te maken krijgen. 

Digital Trust Center (DTC) kijkt nu al mee 

Op dit moment wordt de ICT infrastructuur van bedrijven ook al actief gecontroleerd door het Digital Trust Center (DTC) van de Nederlandse overheid en krijgen bedrijven van DTC al mailtjes wanneer er ernstige kwetsbaarheden worden gevonden. Zie onderstaand voorbeeld. 

Invoering NIS 2 

Alle bedrijven die ‘essentiële diensten’ leveren dienen vanaf 16 januari 2023 te voldoen aan de nieuwe cybersecurity richtlijnen welke zijn vastgelegd in een nieuwe Europese cybersecuritywet,  NIS 2. NIS staat voor Netwerk- en Informatiesystemen. Vanaf 16 januari krijgen de Europese lidstaten 21 maanden de tijd om op basis van NIS 2 een eigen wettelijke implementatie op te zetten die geldt voor hun land.  

Op dit moment is de wet NIS 1 actief, welke alleen geldt voor essentiële bedrijven zoals water- en telecombedrijven.  In 2023 wordt NIS 2 actief waarbij de cybersecurity-eisen verhoogd worden en meer organisaties als essentieel bedrijf worden aangemerkt. Vallen onder de NIS 1 nog 200 bedrijven in Nederland, bij invoering van NIS 2 zullen dat er zo’n 5.000 zijn. 

Bij bedrijven maakt men een onderscheid tussen zeer kritieke en andere/overige kritieke sectoren waarbij de wetgeving geldt voor de middelgrote en grote bedrijven uit deze sectoren maar ook voor kleine bedrijven uit de zeer kritieke sector.  Onder de overige kritieke sectoren vallen o.a. afvalstoffenbeheer bedrijven, bedrijven die zich bezig houden met vervaardiging van producten en bedrijven die levensmiddelen produceren, verwerken en distribueren. Voor een volledig overzicht zie de bijlagen I en II uit de nieuwe richtlijn van het Europees Parlement (zie bronvermeldingen).

Niet alleen het aantal sectoren is uitgebreid maar ook de beveiligingseisen voor bedrijven welke vallen onder deze sectoren zijn aangescherpt. Zo bevat de wetgeving voorschriften voor het handhaven van basale computerhygiëne, het trainen van medewerkers, asset management, toegangscontrole en procedures voor het melden van incidenten.  

Bestuurders van de onder de NIS 2 vallende bedrijven zijn zelf verantwoordelijk voor het nemen van afdoende maatregelen en kunnen dus niet meer verwijzen naar hun IT beheerpartij. Bij aangetoonde nalatigheid kunnen forse boetes worden opgelegd aan bedrijven, kunnen diensten van de betreffende bedrijven opgeschort worden en kunnen tijdelijke verboden opgelegd worden aan bestuursfuncties door een natuurlijk persoon.  

Nederlandse Cybersecuritystrategie 2022-2028 

In oktober 2022 heeft het kabinet haar cybersecuritystrategie voor 2022-2028 gepresenteerd. De onderliggende visie voor deze strategie is dat digitale veiligheid voor iedereen een vanzelfsprekendheid dient te zijn.  

Vanuit deze visie zijn een aantal strategische keuzes gemaakt. Een aantal van deze keuzes zijn: 

  • De overheid pakt de regie. Dat betekent centraal waar kan, decentraal/sectoraal waar dat moet. 
  • Iedereen in Nederland moet gewaarschuwd kunnen worden die (mogelijk) slachtoffer wordt of doelwit is van een cyberaanval. 
  • Ten aanzien van wet- en regelgeving waar Europese wet- en regelgeving waar kan, aanvullende nationale wet- en regelgeving waar dat moet. Cybersecuritymaatregelen en eisen zijn proportioneel, en worden gedifferentieerd naar het belang dat organisaties vertegenwoordigen en hun mate van volwassenheid. Het MKB wordt zoveel mogelijk ontzorgd. 
  • Digitale risico’s voor burgers en bedrijven worden zoveel mogelijk verkleind door verantwoordelijkheden voor de veiligheid van digitale producten en diensten bij burgers en bedrijven weg te nemen en neer te leggen bij de overheid, producenten en dienstverleners. 

 

Om de visie te realiseren zijn doelen geformuleerd langs vier pijlers: 

  1. Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. 
  1. Veilige en innovatieve digitale producten en diensten. 
  1. Tegengaan van digitale dreigingen van staten en criminelen. 
  1. Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers.  

Onderstaand per pijler de toelichting en de geformuleerde doelen. 

Het vorige kabinet heeft 95 miljoen structureel geïnvesteerd in de versterking van digitale weerbaarheid. Dit kabinet investeert een extra 111 miljoen structureel in cybersecurity.  

Bronvermeldingen 

Dit artikel is mede gebaseerd op de volgende bronnen: 

Bekijk ook andere berichten

19 augustus 2020

Wat doet een ICT beheerder precies?

Wat doet een ICT-beheerder precies? Bij Drie-O kun je terecht voor zakelijk ICT-beheer. Maar wat houdt dat in? Pieter Faber is al meer dan 16 jaar verantwoordelijk voor netwerkbeheer bij Drie-O. Precies de juiste per...

10 september 2020

Maak Microsoft 365 drie keer zo veilig

Online werken is makkelijk en efficiënt, mits je aan beveiliging denkt. Met een paar eenvoudige maatregelen maak je het hackers moeilijker én zorg je dat je bij eventuele problemen weer snel aan de slag kunt.

4 november 2021

Nooit meer een wachtwoord onthouden!

Tegenwoordig dien je veel gebruikersnamen en wachtwoorden te onthouden. Inloggen op portalen van je leveranciers, verzekeraars van je (werknemers)verzekeringen en social media (Facebook, Twitter, LinkedIn)