Deze maand is NIS2 officieel ingegaan. Ook bedrijven in het mkb moeten wanneer de criteria op hen van toepassing zijn, voldoen aan de regels. Om te voorkomen dat het mkb zich overkwalificeert onder druk van afnemers, is gisteren een nieuw keurmerk gelanceerd, waarmee bedrijven kunnen aantonen aan de regels te voldoen.
Hoewel de officiële wet in Nederland naar verwachting pas op 1 juli volgend jaar ingaat, willen veel bedrijven zich al indekken tegen de gevolgen van zakendoen met toeleveranciers die niet aan de regels voldoen. Ook het mkb krijgt te maken met druk vanuit afnemers, vanwege de ketenaansprakelijkheid. Volgens de Stichting Kwaliteitsinnovatie loopt het mkb daardoor her risico dat meer van hen verlangd wordt dan redelijkerwijs nodig is om aan NIS2 te voldoen. De stichting heeft daarom een nieuw Europees keurmerk in het leven geroepen, NIS2 Quality Mark, waarmee bedrijven een certificaat kunnen aanvragen. Dit certificaat toont vervolgens aan dat een bedrijf voldoet aan de regels voor zover die van toepassing zijn, zodat er geen onnodige inspanningen en kosten worden gemaakt.
“Bedrijven met meer dan 50 medewerkers of een omzet boven de 10 miljoen euro moeten volgens artikel 21.2d van de NIS2-richtlijn hun directe toeleveranciers screenen op digitale veiligheid,” zegt Dr. Michel Dutrée, voorzitter van de Stichting Kwaliteitsinnovatie. “Dit legt extra druk op zowel grote als kleine bedrijven in de keten. Om bijvoorbeeld als (mkb-)leverancier orders te blijven ontvangen, moet je aantoonbaar digitaal veilig zijn. Het gevaar bestaat dat je op aandringen van een klant of opdrachtgever onnodig zware eisen opgelegd krijgt. Ons keurmerk moet dat voorkomen met een gestandaardiseerde aanpak die in heel Europa toepasbaar is. Met het NIS2 Quality Mark zorg je ervoor dat je niet overkwalificeert en biedt het de zekerheid dat je niet ondergekwalificeerd bent.”
NIS2-organisaties kunnen het NIS2 Quality Mark opnemen in hun inkoopvoorwaarden zegt Dutrée, en certificering vragen van hun leveranciers. Mkb-bedrijven kunnen met een NIS2-certificaat aantonen dat hun cyberveiligheid op orde is. “Veel mkb’s realiseren zich nog niet dat ze indirect onder de NIS2-wetgeving vallen. Het kunnen aantonen van digitale veiligheid bevordert samenwerking binnen sectoren en is cruciaal om te voldoen aan de regelgeving en om verdere groei en handel te waarborgen.”
Het NIS2 Quality Mark biedt drie certificeringsniveaus – QM10, QM20 en QM30 – waarmee bedrijven hun cybersecuritycapaciteit kunnen opbouwen tot wat nodig is. De norm beoogt dynamisch te zijn en wordt indien nodig aangepast aan nieuwe dreigingen, zoals de inzet van kunstmatige intelligentie (AI) bij cyberaanvallen. Dit moet het keurmerk toekomstbestendig en flexibel maken.
Er zijn geen kosten verbonden aan het certificaat zelf, maar om te voldoen aan de eisen zijn audits nodig, die moeten worden uitgevoerd door speciale bureaus. Meer informatie is hier te vinden.