Nederland heeft NIS2-deadline niet gehaald: wat zijn de gevolgen voor het mkb?

Wat is NIS2 ook alweer?

De NIS2-richtlijn is een Europese maatregel die de digitale weerbaarheid van organisaties wil versterken. De richtlijn verplicht middelgrote (vanaf 50 medewerkers of > 10 miljoen omzet) en grote bedrijven in belangrijke sectoren zoals energie, transport en digitale infrastructuur om striktere beveiligingsmaatregelen te implementeren en incidenten snel te melden. Voor mkb-bedrijven betekent dit dat ze veel meer verantwoordelijkheden krijgen op het gebied van cybersecurity. Ook bedrijven die toeleverancier zijn van grotere organisaties of essentiële diensten leveren, vallen onder de richtlijn.

Nu de wetgeving in Nederland pas later (waarschijnlijk in 2025) van kracht wordt, biedt kansen voor het mkb. Je hebt nu meer tijd om je voor te bereiden op de strenge eisen en om cybersecurity een integraal onderdeel te maken van je bedrijfsvoering.

Wat verandert er met de Cyberbeveiligingswet?

Met de introductie van de Cyberbeveiligingswet (Cbw) krijg je als mkb-bedrijf te maken met nieuwe verplichtingen. Dit zijn de belangrijkste:

1. Registratieplicht. Alle bedrijven die onder de scope van NIS2 vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Dit is onafhankelijk van of je een ‘essentiële’ of ‘belangrijke’ entiteit bent. De registratie helpt de overheid om een overzicht te krijgen van alle bedrijven die onder NIS2 vallen en dient ook als centraal punt voor informatie-uitwisseling.
2. Meldplicht. Significante cybersecurity-incidenten moeten worden gemeld aan een CSIRT (Computer Security Incident Response Team). Een incident wordt als significant beschouwd als het een ernstige verstoring van de dienstverlening veroorzaakt. Voor mkb-bedrijven betekent dit dat er een goed Incident Response Plan moet zijn, waarmee je snel kunt reageren op mogelijke dreigingen en verstoringen in je bedrijfsprocessen.
3. Zorgplicht. Bedrijven zullen verplicht worden een risico-gebaseerde aanpak te hanteren. Dit betekent dat je regelmatig een risicoanalyse moet uitvoeren om kwetsbaarheden en dreigingen te identificeren, en passende maatregelen moet treffen om deze risico’s te beheersen. Dit is een belangrijk onderdeel van de NIS2-richtlijn en zal een kernonderdeel zijn van de Cbw. Door risicomanagement als basis te gebruiken, kun je gerichte beveiligingsmaatregelen implementeren die in verhouding staan tot de waarde van de te beschermen activa.
4. Toezicht. De nieuwe wet legt ook meer nadruk op toezicht. Toezichthouders zullen bedrijven controleren op naleving van de wet, en bij non-compliance kunnen boetes en andere sancties volgen.
5. Opleidingsplicht. Bestuurders van bedrijven moeten voortaan een opleiding volgen om hun kennis over cybersecurity te vergroten. Deze nieuwe verplichting moet hen helpen om betere beslissingen te nemen op het gebied van informatiebeveiliging.

Wat betekent dit voor jouw mkb-bedrijf?

De wet wordt pas in 2025 van kracht, maar het is verstandig om nu al te beginnen met voorbereidingen. Het opzetten van een gedegen cybersecurity-aanpak kost immers tijd. Als je op tijd start, heb je straks een voorsprong. Bovendien is een solide cybersecurity-aanpak niet alleen verplicht, maar inmiddels onmisbaar om je bedrijf te beschermen tegen de vaak ontwrichtende gevolgen van cybercrime.

JSE helpt als IT-partner mkb-bedrijven graag om te voldoen aan de aankomende NIS2-vereisten. Samen met jou zorgen we voor een passend beveiligingsbeleid om de weerbaarheid van je bedrijf te vergroten.

JSE helpt met Secure7

Mkb-bedrijven bereiden we voor op NIS2 volgens de Secure7-aanpak die de  Dutch Cybersecurity Assembly heeft opgesteld. JSE committeert zich aan Secure7 als basis voor cybersecurity. Deze start met een grondige risicoanalyse, waar we de kwetsbaarheden binnen je IT-infrastructuur inventariseren. We helpen je om systemen te beschermen en prioriteiten te stellen bij het treffen van maatregelen. Zo kun je gericht middelen toewijzen aan de meest kritieke onderdelen binnen je bedrijf.

Naast technische oplossingen geeft JSE ook bewustwordingssessies en workshops voor medewerkers en managers. Dit helpt om de bewustwording van cyberrisico’s onder het personeel te vergroten. Ook kan het management hierdoor betere beslissingen nemen over informatiebeveiliging.

Cyberbeveiligingswet heeft impact op het mkb, maar je hebt nog tijd

De komst van de Cyberbeveiligingswet in Nederland heeft veel impact op mkb-bedrijven. De deadline voor de invoering is uitgesteld tot 2025, maar het is belangrijk om nu al te beginnen met voorbereidingen, of om deze onverminderd voort te zetten. Door tijdig maatregelen te treffen volgens onze Secure7-aanpak, kun je op tijd voldoen aan de nieuwe wetgeving en de security van je bedrijf verder versterken.

JSE helpt je graag verder in dit proces. Wil je meer weten? Neem contact met ons op voor meer informatie en een kennismakingsgesprek om de security van jouw mkb-bedrijf te verbeteren.