Graag vraag ik uw aandacht voor nieuwe wetgeving die over +/- 1 jaar van kracht wordt: "NIS2".
NIS2 is een Europese richtlijn voor maatregelen die bedrijven moeten nemen tegen cyberbeveiligingsrisico’s. Het moet leiden tot een hoger niveau van cybersecurity bij bedrijven en organisaties. Zie: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie
NIS2 lijkt een beetje op AVG (GDPR). Het beschrijft niet letterlijk hoe je je moet beveiligen (backups, firewall, etc.), maar verplicht bedrijven hierover na te denken en er een plan over op te stellen.
De richtlijn geldt primair voor grote bedrijven (250 werknemers / jaaromzet € 50 miljoen / balanstotaal € 43 miljoen), maar deze bedrijven moeten ook naar de keten van toeleveranciers kijken. Dus als u leverancier bent van zo'n bedrijf, is de kans groot dat zij ook eisen gaan stellen aan uw cyberbeveiliging en weerbaarheid.
Voor NIS2 geldt dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld, indien zij hun ICT onder de maat beveiligen. Artikel 29 lid 6:
De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn (bron: https://www.security.nl/posting/781887/Wordt+de+directie+persoonlijk+aansprakelijk+voor+IT-fouten+onder+de+NIS2-richtlijn%3F)
Los van dit alles zou cyberbeveiliging inmiddels op de agenda moeten staan van alle directies. De richtlijn kan daarbij helpen en kan daarom ook als kans worden gezien. Ik heb vandaag een voorlichting hierover bijgewoond en heb gesproken met mensen van Microsoft, Dell en IBM. Voor het MKB geldt eigenlijk vooral dat ze, samen met hun IT-leverancier(s), een inventarisatie zouden moeten maken van de risico's en de maatregelen. Het gaat er vooral om: maak een plan, benoem de risico’s, werk aan beveiliging. Als organisatie dient u hier zelf het initiatief in te nemen.
Voor nu is mijn doel van deze mail u vooral te wijzen op de aankomende wet "NIS2", met het verzoek het de komende tijd op uw agenda te plaatsen. En dan houden wij ons aanbevolen om hier samen met u aan te werken.