NIS2 wet EU automatisering
Terug naar het overzicht
Cyber Security

De NIS2-regelgeving:
Een nieuw cyber security tijdperk voor het MKB

Meretta Kouria
Meretta Kouria
Geplaatst op 15 mei 2024

In Europa staan we aan de vooravond van een grote verandering op het gebied van cyber security en wetgeving. Eind dit jaar wordt namelijk de NIS2-wet van kracht. Met het ingaan van deze wet komen er voor bedrijven cruciale veranderingen in het beheren van hun IT-systemen. In dit blogartikel duiken we in de kern van NIS2, ontdekken wat het betekent voor het MKB, en kijken we naar actiepunten om je als bedrijf voor te bereiden op de onvermijdelijke komst van NIS2.

Wat is NIS2?

NIS2 staat voor “Network and Information Systems directive” en vormt een voortzetting en uitbreiding van de vorige EU-richtlijn voor cyberbeveiliging, NIS1. Het doel van NIS2 is om het gezamenlijke cybersecurityniveau van EU-lidstaten te versterken door de handhavingsvereisten voor cyberbeveiliging te verhogen voor sectoren met kritieke infrastructuur.

Voor het MKB brengt de NIS2-regelgeving zowel uitdagingen als kansen met zich mee. Aan de ene kant worden mkb-bedrijven gedwongen om hun cyberbeveiliging te verbeteren om te voldoen aan de nieuwe normen en vereisten. Aan de andere kant biedt het hen toegang tot meer middelen en begeleiding om zich te wapenen tegen cyberdreigingen.

Door de NIS2-regelgeving wordt van mkb-bedrijven verwacht dat ze proactieve maatregelen nemen om cyberaanvallen te voorkomen, incidenten te detecteren en snel te reageren in geval van een inbreuk. Denk aan het implementeren van robuuste beveiligingsprotocollen, het regelmatig bijwerken van software en het investeren in cyberbewustzijnstraining voor medewerkers.

Wanneer treedt NIS2 in werking?

De revisie van NIS2 is de recente Europese wetgeving omtrent cybersecurity. Het was de bedoeling dat de wet op 17 oktober van kracht zou zijn in Nederland, maar dit is uitgesteld tot derde kwartaal 2025. Dit geeft bedrijven enige ademruimte, maar niet veel; de tijd om te handelen is nu.

Voor wie geldt NIS2?

Voor welke sectoren en organisaties gaat NIS2 gelden? Wat zijn de verplichtingen voor organisaties? En hoe kunnen organisaties zich voorbereiden?

Organisaties kunnen verschillende voorbereidingen treffen om te voldoen aan de NIS2 en om hun cybersecurity te verbeteren:

  1. Bepaal allereerst of je bedrijf onder NIS2 valt. Niet ieder (mkb-)bedrijf valt onder NIS2, dus bepaal eerst of jouw bedrijf onder deze regelgeving valt. Dit kun je eenvoudig zelf bepalen door een aantal vragen te beantwoorden op de website van de Rijksoverheid.
  2. Voer een inventarisatie en analyse uit van de risico’s waarmee je organisatie wordt geconfronteerd. Zie deze cyber security check als het nakijken van de sloten op je digitale deuren en ramen (ook een must trouwens als je niet onder NIS2 valt). Een stappenplan voor risicoanalyse kan hierbij helpen.
  3. Ontwikkel een incident-response-plan om adequaat te kunnen reageren op cyberincidenten.
  4. Investeer in bewustwordingsinitiatieven voor personeel, zoals het uitvoeren van een phishingcampagne om medewerkers te trainen in het herkennen van phishingaanvallen.
  5. Reserveer budget en capaciteit om te kunnen voldoen aan de vereisten van de NIS2-richtlijn.

Door deze maatregelen te nemen, kun je als organisatie je veiligheid en weerbaarheid tegen cyberaanvallen verbeteren en je voorbereiden op de implementatie van de NIS2-richtlijn.

NIS2 wet ict

Verplichtingen

Aan welke verplichtingen moeten organisaties zich houden als ze onder de NIS2-richtlijn vallen?

  • Zorgplicht: Organisaties moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen.
  • Meldplicht: Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan hulp en bijstand verlenen.
  • Toezicht: Er komt een onafhankelijk toezichthouder die naar de naleving van de verplichtingen uit de richtlijn kijkt.
  • Registratieplicht: Entiteiten die onder de NIS2-richtlijnen vallen, zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.

Microsoft & NIS2

Een van de belangrijkste aspecten van NIS2 is het waarborgen van de beveiliging van netwerk- en informatiesystemen, evenals het minimaliseren van de impact van incidenten. Om deze doelstellingen te bereiken, moeten organisaties proactieve maatregelen implementeren, waaronder risicoanalyse, gegevensbescherming, en het monitoren en detecteren van bedreigingen.

Microsoft biedt een scala aan oplossingen die organisaties kunnen helpen bij het naleven van NIS2-richtlijnen, waaronder Microsoft Priva, Purview en Defender for Cloud.

Microsoft Priva: Privacymanagement is een cruciaal aspect van NIS2, aangezien het de bescherming van persoonsgegevens waarborgt en privacyrisico’s minimaliseert. Microsoft Priva is een tool die organisaties helpt bij het beheren van privacyvereisten en het naleven van wet- en regelgeving op het gebied van gegevensbescherming, waaronder de Algemene Verordening Gegevensbescherming (AVG) in de EU. Door middel van geavanceerde functies voor gegevensclassificatie, gegevensbescherming en nalevingsrapportage stelt Priva organisaties in staat om een ​​sterk privacybeleid te implementeren dat voldoet aan de strenge eisen van NIS2.

Microsoft Purview: Inzicht in gegevensstromen en het identificeren van gevoelige informatie zijn van vitaal belang voor het waarborgen van de veiligheid van netwerk- en informatiesystemen. Microsoft Purview is een datacatalogus- en -beheertool die organisaties helpt bij het ontdekken, classificeren en beheren van hun gegevenslandschap. Door een holistisch beeld te bieden van waar gegevens worden opgeslagen en hoe ze worden gebruikt, stelt Purview organisaties in staat om potentiële kwetsbaarheden te identificeren en proactief maatregelen te nemen om de beveiliging te versterken. Ook helpt Purview organisaties de risico’s te identificeren door complexe wettelijke vereisten te vertalen in specifieke verbeteringsacties.

Microsoft Defender for Cloud: Het monitoren en beschermen van cloudinfrastructuren is een integraal onderdeel van NIS2-naleving, gezien de groeiende adoptie van cloudservices. Microsoft Defender for Cloud biedt geavanceerde beveiligingsfuncties die organisaties helpen bij het identificeren en reageren op bedreigingen in cloudomgevingen. Door continue monitoring, gedragsanalyse en geautomatiseerde reactiemogelijkheden kunnen organisaties potentiële beveiligingsincidenten snel detecteren en neutraliseren, waardoor de impact op netwerk- en informatiesystemen wordt geminimaliseerd.

Waarom moet je je voorbereiden op NIS2?

Het is eenvoudig: de kosten van onvoorbereid zijn kunnen catastrofaal zijn. NIS2 of geen NIS2, een cyberaanval kan je bedrijf veel geld kosten, je reputatie ernstig schaden, en in extreme gevallen, het einde van je bedrijf betekenen. Dat geldt voor alle bedrijven, of ze nou wel of niet onder NIS2 vallen.

Val je onder NIS2 dan is het ook simpelweg een wettelijke verplichting. Daar kun je niet onderuit. Maar voor ieder bedrijf is het verbeteren van de eigen ICT-beveiliging een must voor de toekomst en veiligheid van je eigen bedrijf.

NIS2 cyber security mkb bedrijf nederland

CSAT: de scan om je cyber security op orde te brengen

Veel bedrijven vinden de grootste uitdaging in het proactief vaststellen van cyberdreigingen en daar adequaat op reageren. Voor mkb-bedrijven is het vaak niet haalbaar om zelf 24/7 hun netwerk te monitoren, waardoor ze deze taak moeten uitbesteden aan een MDR-dienst (Monitoring, Detection & Response).

Naast het implementeren van geavanceerde technologische oplossingen is het uitvoeren van een grondige risicoanalyse een essentiële stap in het streven naar NIS2-naleving. Door potentiële risico’s te identificeren, te evalueren en te prioriteren, kunnen organisaties gerichte maatregelen nemen om hun cyberweerbaarheid te versterken en zich voor te bereiden op mogelijke bedreigingen. Een risicoanalyse stelt organisaties in staat om kwetsbaarheden bloot te leggen, nalevingsgaten te identificeren en een effectieve cybersecuritystrategie te ontwikkelen die in lijn is met de vereisten van NIS2.

De resultaten van een cyber security check geven je ook een duidelijker beeld van waar je staat. Een goede check biedt niet alleen inzicht, maar ook een gedetailleerd plan om eventuele zwakke plekken aan te pakken. Dit kan variëren van het upgraden van software tot het trainen van personeel in security awareness.

Wat is de CSAT-scan?

De afgelopen jaren hebben we met security checks tal van mkb-bedrijven geholpen inzicht te krijgen in de staat van hun ICT-beveiliging. Dit doen we met een CSAT-scan (CSAT = Cyber Security Assessment Tool).

Door een CSAT-scan te laten uitvoeren krijg je:

  1. Een objectief(!) beeld van jouw huidige cyber security
    Objectief? Jazeker, dat kan. We leggen het je graag uit.
  2. Een advies welke maatregelen je moet nemen om je ICT-beveiliging te verbeteren en om uiteindelijk aan NIS2 te voldoen.

Cyber Security Assessment (CSAT) aanvragen