Bij de term NIS2-richtlijn zal er bij weinig AGF-handelaren en telers een lampje branden, maar de cyberveiligheidswet zal wel tot de verbeelding spreken. "Cybercriminaliteit is inmiddels een van de grootste vormen van criminaliteit. Zo zien OM en politie een aantal belangrijke ontwikkelingen waaronder de opkomst van datadiefstal en -handel, het zorgwekkend aandeel van jonge cybercrimeverdachten en de vermenging met traditionele criminaliteit", constateert Robert van Vianen. Als partner van de internationale accountants- en adviesorganisatie is hij mede verantwoordelijke voor de afdeling BDO Digital – Cyber Security, waar inmiddels veertig mensen werkzaam zijn.
De NIS2-richtlijn is een opvolger van de bestaande NIS-richtlijn en omvat dertien cybersecurity-eisen voor essentiële of belangrijke sectoren én hun toeleveranciers, die worden omgezet in wetgeving. Het betreft een Europese richtlijn die moet worden omgezet in nationale wetgeving. Momenteel ligt de conceptwet in Nederland ter internetconsultatie. In eerste instantie zou die oktober dit jaar al van start gaan, maar die startdatum is inmiddels opgeschoven naar volgend jaar. Organisaties die essentieel of belangrijk zijn voor de maatschappij én hun toeleveranciers, worden verplicht om systemen en processen te beveiligen tegen cyberaanvallen, met als doel de digitale veiligheid te verbeteren.
Wie valt onder de NIS2-richtlijn?
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens bepaalde criteria gekenmerkt worden als 'essentiële' of 'belangrijke' entiteit. De levensmiddelensector valt onder de 'belangrijke' entiteiten. Aan de hand van de sector waarin een organisatie actief is en de grootte van een organisatie, wordt bepaald of deze onder de NIS2-richtlijn valt, en daarmee ook onder de Cyberbeveiligingswet.
De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:
Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn.
Registratieplicht, zorgplicht, meldplicht en toezicht
"Als je onder deze richtlijn valt, moet je voldoen aan een aantal verplichten: registratieplicht, zorgplicht, meldplicht en toezicht. Zo moeten alle bestuurders en DGA's getraind worden in cyberrisico's, zij worden namelijk hoofdelijk aansprakelijk gesteld", stelt Robert. "Een andere belangrijke voorwaarde is de meldplicht bij significante incidenten, zoals een ransomware-aanval die leidt tot financiële verliezen of operationele schade. Dit moet worden gemeld bij de toezichthouder. Omdat de levensmiddelensector als 'belangrijk' wordt gezien, maar niet als essentieel, mag de toezichthouder niet proactief audits uitvoeren. Zij komen alleen langs op het moment dat er een significant incident heeft plaatsgevonden. Daarbij mag de toezichthouder boetes opleggen als er niet aan de voorwaarden is voldaan, maar dat is niet de hoofddoelstelling."
"Het belangrijkste actiepunt is voldoen aan de zorgplicht om aan de minimale beveiligingsvoorwaarden te voldoen. Hiervoor is een risicoanalyse nodig, die onder meer vereist om de leveranciersketen in kaart te brengen. Je moet dus zelf met je belangrijkste leveranciers om tafel om te bespreken wat je verwacht aan minimale beveiligingsnormen. Bovendien moeten al deze maatregelen aantoonbaar zijn, dat is de rode draad binnen deze richtlijn", vervolgt Robert.
Hij roept bedrijven op om ondanks de latere start van de NIS2-regel, nu al in actie te komen. "Het gevaar is nu dat bedrijven het uitstel aangrijpen om af te wachten, maar de conceptwet is er al en daar zal echt niet veel van worden afgeweken. Ieder bedrijf kan nu al voorbereidingen treffen. Door de zorgplicht is er echt actie vereist, zoals het starten van een inventarisatie van de dreigingsanalyse. Op het moment dat je die dreiging goed in kaart hebt, kun je kijken welke beheersmaatregelen je momenteel al hebt, deels hebt of niet hebt, waarna je actie kunt ondernemen."
Volgens Robert is het goed dat de cyberveiligheidswet nu op Europees niveau wordt georganiseerd. "Hiermee worden echt stappen gezet om cybercriminaliteit tegen te gaan. Cybersecurity doe je tenslotte niet primair voor de toezichthouder of leverancier, maar voor je eigen ICT-veiligheid!"
Voor meer informatie:
Robert van Vianen
BDO Cyber Security Benelux
Tel: +31 (0)30 284 9703
GSM: +31 (0)6 3007 9909
Robert.van.Vianen@bdo.nl
Eefje de Vries
Tel: +31 (0)10 237 0723
GSM: +31 (0) 6 4810 8264
eefje.de.vries@bdo.nl
Bron: AGF.nl