Vier kernverplichtingen vormen de basis van nieuwe Cyberbeveiligingswet
De komst van NIS2 heeft grote impact – ook voor leveranciers. De richtlijn vraagt om actie: technisch én beleidsmatig, intern én extern.
De NIS2-richtlijn (Cyberbeveiligingswet) staat op het punt om de manier waarop organisaties omgaan met digitale veiligheid ingrijpend te veranderen. Maar wat staat er nu eigenlijk precies in deze wet? Vier kernverplichtingen vormen de basis: registratieplicht, meldplicht, zorgplicht en toezicht.
Geschreven door: Jacco Wildeman
1. Registreren bij het Nationaal Cyber Security Centrum
Bedrijven die onder NIS2 vallen – de zogeheten NIS2-plichtige organisaties – zijn verplicht zich te registreren bij het Nationaal Cyber Security Centrum (NCSC). Naar verwachting gaat het in Nederland om zo’n 10.000 organisaties.
2. Meldplicht voor incidenten – óók voor leveranciers
Niet alleen NIS2-plichtige bedrijven zelf, maar ook hun hele toeleveringsketen moet zich voorbereiden op de meldplicht. Lever jij als MKB’er aan een grote, NIS2-plichtige klant? Dan kun je hier dus ook mee te maken krijgen, niet omdat het moet vanuit de wet, maar omdat het gevraagd wordt vanuit de klant.
3. Zorgplicht: aantoonbare digitale beveiliging
Organisaties moeten aantoonbaar werken aan hun digitale weerbaarheid. Dat gebeurt op basis van een 10-stappenplan (Zorgplicht NIS2: Tien belangrijke stappen | Ekco) uit de EU-richtlijn. De nadruk ligt op risicobeoordeling en het beveiligen van kroonjuwelen. Denk aan:
-
-
- Incidentrespons (zoals je een BHV’er hebt bij brand, moet je ook weten wat te doen bij een hack);
- Continuïteitsmaatregelen zoals back-ups en noodvoorzieningen;
- Fysieke én digitale toegangsbeveiliging.
-
Het merendeel van deze maatregelen vraagt om intern beleid en procedures, niet alleen techniek.
4. Toezicht én persoonlijke aansprakelijkheid
Toezichthouders krijgen de taak om te controleren of organisaties zich aan de wet houden. En let op: bestuurders worden persoonlijk aansprakelijk gesteld als de organisatie hierin faalt. Dat is een stevige boodschap: cybersecurity is niet langer alleen een IT-feestje.
Bestuurders zijn straks ook verplicht om jaarlijks een cybersecuritytraining te volgen. Zo wil de EU dat de boardroom daadwerkelijk betrokken raakt bij digitale veiligheid.
Wat betekent dit voor leveranciers?
NIS2-plichtige bedrijven zullen de wettelijke eisen die zij zelf moeten volgen, gaan doorgeven aan hun toeleveranciers. Dat gebeurt via bestaande of nieuwe leverancierscontracten. Daarmee wordt naleving van NIS2 een voorwaarde om onderdeel te blijven van de keten.
Oftewel: je grote klant bepaalt straks of jij zaken blijft doen – op basis van je digitale beveiliging. Zorg dus dat je voorbereid bent. Laat je grote klanten niet afhaken, omdat jij je zaken niet op orde hebt.
Kort samengevat
De komst van NIS2 heeft grote impact – ook voor leveranciers. De richtlijn vraagt om actie: technisch én beleidsmatig, intern én extern. Ga nu aan de slag en zorg dat je organisatie én je contracten klaar zijn voor deze nieuwe werkelijkheid.
Wil je weten of jouw organisatie NIS2-plichtig is, of wat jij als leverancier concreet moet regelen? Dan is nú het moment om dat uit te zoeken.
