De nieuwe cyberwet komt eraan in 2024!
Share
NIS2 is in aantocht; de nieuwe cyberwetgeving op basis van de EU-richtlijn zal gevolgen hebben voor veel organisaties. Veel meer organisaties en bedrijven dan bij de huidige cyberwet worden aangemerkt als ‘belangrijk’ of ‘essentieel’ en zullen daarom moeten voldoen aan de gestelde eisen. Zij krijgen mogelijk zelfs te maken met hoge boetes wanneer zij zich niet aan de wetgeving houden.Er is Nederlandse wetgeving in de maak die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor onze samenleving en economie; de Cyberbeveiligingswet (Cbw). Door de Europese Network and Information Security (NIS2) directive -richtlijn zullen veel organisaties cybersecuritymaatregelen moeten nemen, ook bedrijven die nog niet eerder te maken hadden met cyberwetgeving.
Sinds januari 2023 werkt de Rijksoverheid aan de nationale implementatie door de Europese richtlijn om te zetten naar Nederlandse wetgeving. De NIS2-richtlijn wordt geïmplementeerd in de vorm van de Cyberbeveiligingswet (Cbw). De wet beoogt de cyberveiligheid te versterken bij bedrijven die opereren in een kritieke sector waarbij we geen uitval kunnen lijden.
Naast dat er veel meer bedrijven extra cybersecuritymaatregelen moeten nemen, komt er ook een verplichting om cyberincidenten te melden.
Omvang maakt uit
De Cbw is in eerste instantie van toepassing op (middel)grote bedrijven en organisaties die opereren in (zeer) kritieke sectoren. Het gaat dan om bedrijven van minimaal 50 medewerkers met minimaal een totale jaaromzet van 10 miljoen euro. Op micro- en kleine bedrijven is de wet alleen van toepassing wanneer een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling.
Geen omvangcriteria voor overheden
Voor sommige bedrijfstakken gelden de omvangcriteria niet. Aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinregistratiediensten en overheidsorganisaties vallen áltijd onder de Cbw, ongeacht de omvang. Ministeries, provincies, gemeenten en waterschappen vallen dus direct onder de Cyberbeveiligingswet als essentiële entiteit. Voor zelfstandige bestuursorganen en gemeenschappelijke regelingen is dit afhankelijk van het geval.
Wat is de impact van de nieuwe cyberwet op uw organisatie?
Elke organisatie moet naar de vereisten van NIS2 kijken en begrijpen hoe zij mogelijk worden beïnvloed, ook wanneer uw organisatie zelf niet direct als ‘belangrijk’ of ‘essentieel’ is bestempeld. De kans is namelijk groot dat u indirect toch met de wet te maken gaat krijgen. Wanneer u bijvoorbeeld leverancier bent van een dergelijke partij kunt u indirect te maken krijgen met de vereisten vanuit de nieuwe wetgeving.
5 belangrijke veranderingen waarop organisaties zich moet voorbereiden
#1 Uitbreiding van industriële sectoren en entiteiten die onder de reikwijdte van NIS2 vallen
Hieronder vallen bedrijfstakken zoals post- en koeriersdiensten, voeding, ruimtevaart en afvalwater, maar ook talloze middelgrote bedrijven met 50 of meer werknemers en een omzet van meer dan €10 miljoen.
#2 Verantwoordelijkheden van het management
Het management moet een training volgen om voldoende kennis en vaardigheden op te doen om risico’s te identificeren en om de werkwijze van risicobeheer op het gebied van cyberbeveiliging en de impact ervan op hun dienstverlening te beoordelen. Dit zal onderdeel worden van de bestuurdersaansprakelijkhei
#3 Aangescherpte maatregelen voor risicobeheer op het gebied van cyberbeveiliging
Deze maatregelen variëren van het gebruik van Multi-Factor Authentication (MFA) tot het afhandelen van incidenten en beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen.
#4 Beveiliging van de toeleveringsketen valt ook binnen het toepassingsgebied
Organisaties moeten rekening houden met de kwetsbaarheden die specifiek zijn voor elk van hun directe leveranciers en dienstverleners om de impact van incidenten in de toeleveringsketen op ontvangers van hun diensten en op andere diensten te voorkomen of te minimaliseren.
#5 Hogere boetes
“Essentiële” organisaties die NIS2 niet naleven, krijgen te maken met boetes van maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde jaaromzet (welke van beide het hoogst is), terwijl “belangrijke” bedrijven boetes krijgen van maximaal tot € 7 miljoen of 1,4 procent (welke van beide het hoogst is).
Is uw organisatie voorbereid?
De nieuwe cyberwet gaat eind 2024 in. Het is goed uzelf de volgende vragen te stellen om te controleren of u op dit moment al voldoende bent voorbereid:
- Is NIS2 van invloed op onze organisatie?
- Is ons risicobeheer op het juiste niveau voor NIS2?
- Is onze organisatie in staat cyberaanvallen goed te melden?
- Hoe staat het met het risicobeheer van de toeleveringsketen van onze organisatie als het gaat om cyberbeveiliging?
- Is ons budget 2024 berekend op de investeringen die nodig zijn om te voldoen aan de nieuwe wetgeving?
Weten wat NIS2 voor u betekent?
Wilt u weten voor welke organisaties NIS2 gaat gelden en wat de belangrijkste wijzigingen zijn ten opzichte van de huidige cyberwetgeving? Blijf dan op de hoogte van de belangrijkste informatie en bezoek één van onze AI & Cybercrime Events.