De NIS2-directive is een Europese richtlijn om de cybersecurity in heel Europa te verbeteren. Dat betekent dat een groot aantal (mkb)-bedrijven zijn cybersecurity binnen afzienbare tijd op orde moet hebben, met name ook managed service providers. Wat houdt NIS2 in, voor wie geldt de richtlijn en wat kun je als ms(s)p doen om te zorgen dat jij én je klanten veilig zijn?
Wat is de NIS2-richtlijn?
Wanneer gaat de NIS2 directive in?
Zorgplicht en meldplicht
Sancties bij niet naleven
Security in kaart brengen
NIS2 directive biedt kansen voor msp’s
Het aantal cyberaanvallen neemt de laatste jaren schrikbarende vormen aan. Phishing, ransomware en malware vormen grote dreigingen. Tegelijk is onze afhankelijkheid van de digitale infrastructuur voor vitale dienstverlening sterk toegenomen. Dat betekent dat cybersecurity niet meer vrijblijvend moet zijn. Het moet een basisvoorwaarde zijn om een bedrijf of organisatie goed te leiden. Om goede cybersecurity af te dwingen in heel Europa heeft het Europees Parlement ingestemd met de goedkeuring van NIS2. Deze regeling moet Europa verder klaarstomen voor het digitale tijdperk.
Wat is de NIS2-richtlijn?
De NIS2 directive is de tweede generatie van de Network and Information Systems-richtlijn. De richtlijn is opgesteld om bij te dragen aan een hoog gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen in de hele EU. De eerste versie van NIS stamt uit 2016. Die was vooral bedoeld voor grote bedrijven en organisaties die een essentiële dienstverlening voor de samenleving bieden. NIS geldt bijvoorbeeld voor leveranciers van stroom-, netwerk- en watervoorziening. Zij moeten al een paar jaar maatregelen nemen om hun informatie te beveiligen en hun cyberweerbaarheid te optimaliseren.
Bij NIS2 wordt de richtlijn voor veel meer sectoren van toepassing. Zo geldt deze straks ook voor banken, zorginstellingen, vervoerders, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen maken en ook voor msp’s. Kleinere bedrijven zijn uitgezonderd van de NIS2, ook als ze diensten leveren die je als essentieel kunt beschouwen. De grens komt waarschijnlijk te liggen bij 10 miljoen aan jaarinkomsten of vijftig medewerkers. Het duurt nog even voordat de NIS2-directive in Nederland van kracht wordt (zie kader). Dat geeft bedrijven de tijd om zich voor te bereiden.
Wanneer gaat de NIS2 directive in?
De afzonderlijke EU-lidstaten moeten de Europese richtlijn omzetten naar lokale wetgeving. De Nederlandse overheid heeft nog even de tijd, om deze richtlijn om te zetten naar Nederlandse wetgeving. In het Nederlands wordt dit de NIB2 (Netwerk- en Informatiebeveiliging). NIB2 is dus hetzelfde als NIS2.
De verwachting is dat de Nederlandse wetgeving in het najaar van 2024 in zal gaan.
Zorgplicht en meldplicht
De basis van de NIS2 directive bestaat uit twee onderdelen: de zorgplicht en de meldplicht.
- De zorgplicht verplicht organisaties om hun hele infrastructuur veilig te hebben en te houden. Dat betekent onder meer dat het verplicht wordt om de middelen te hebben om te monitoren wat er op het netwerk gebeurt. Dit zal een flinke impact hebben. Zo wordt mogelijk geëist dat organisaties voldoen aan de ISO 27001-norm. Dat zal voor veel organisaties een flinke investering betekenen.
- Volgens de meldplicht moeten organisaties melding maken wanneer ze te maken krijgen met een cyberincident. Die meldplicht geldt nu alleen nog voor datalekken, maar wordt het wordt nu dus ook verplicht om zaken als een ransomware-aanval of misbruik van een kwetsbare plek te melden. Door deze meldplicht kunnen bedrijven beter van elkaar leren hoe ze hun beveiliging kunnen optimaliseren.
Sancties bij niet naleven
Essentiële organisaties die groot genoeg zijn en die niet voldoen aan de eisen die de NIS2 directive stelt, kunnen een boete krijgen van maximaal 10 miljoen euro of 2 procent van de totale wereldwijde jaaromzet. Daarnaast kunnen personen met een relevante autoriteit of (management)rol op het gebied van cybersecurity persoonlijk verantwoordelijk worden gehouden voor het niet naleven.
Dit komt je misschien al wat bekend voor. Deze sancties zijn vrijwel gelijk aan die voor schending van de AVG-richtlijn. Dus na regels voor het waarborgen van de privacy, moet de NIS2 directive gaan zorgen voor het waarborgen van de cyber security.
Security in kaart brengen
Veel organisaties zullen aan de bak moeten om hun cybersecurity volwassen te maken. Dat geldt zeker voor managed service providers. De exacte definitie van ‘service provider’ ligt overigens nog niet vast, maar we kunnen ervan uitgaan dat je als (middel)grote msp gebonden gaat zijn aan de richtlijn. En ook al moet de Nederlandse overheid nog besluiten aan welke eisen een bedrijf precies moet voldoen, het is verstandig om nu al in kaart te brengen hoe volwassen je cybersecurity is.
- Is er een beleid voor informatiebeveiliging?
- Zijn medewerkers zich bewust van de risico’s en herkennen zij bijvoorbeeld phishingmails?
- Gebruik je consequent beveiligingsmaatregelen als multifactor-authenticatie?
- Hoe is het gesteld met het identity en access management (IAM)?
NIS2 directive biedt kansen voor msp’s
In de eerste plaats zul je als msp dus ervoor moeten zorgen dat je zelf aan de richtlijnen voldoet. Maar jouw klanten binnen de mkb-bedrijven zullen ook aan de bak moeten. Daarbij is expertise nodig die organisaties misschien niet in huis hebben. Denk aan het monitoren van de systemen. Het zal voor veel organisaties interessant zijn om dit uit te besteden aan een partij die security operation centers (soc) en aanvullende cybersecurity-taken als dienst aanbiedt.
Daarnaast heb je als msp een goede positie om ook bedrijven die (nog) niet als essentieel gelden of organisaties die te klein zijn om onder de NIS2 directive te vallen, te overtuigen dat voldoen aan de richtlijn altijd verstandig is. Uiteindelijk loopt elke bedrijf, ongeacht de grootte, flinke risico’s als je de maatregelen niet neemt. Een goede cyberveiligheid van zo veel mogelijk organisaties is uiteindelijk in het belang van de hele maatschappij.
