NIS2-Cyberbeveiligingswet
De NIS2-Cyberbeveiligingswet is een Europese wet die ervoor zorgt dat bedrijven en organisaties in bepaalde sectoren hun digitale systemen beter beveiligen.
NIS2 verplicht vitale organisaties om goede maatregelen te nemen tegen hackers en om het snel te melden als er een cyberincident plaatsvindt. Zo wil Europa de digitale veiligheid verbeteren en ervoor zorgen dat landen beter samenwerken om cyberdreigingen aan te pakken.
Organisaties die onder de NIS2 vallen zijn niet alleen verplicht om te voldoen aan strenge cybersecurity-eisen, maar ook om toezicht te houden op de digitale veiligheid van hun directe toeleveranciers. NIS2-organisaties die niet voldoen, riskeren boetes en aansprakelijkheid. Voor hun leveranciers betekent dit dat zij hun cybersecurity aantoonbaar op orde moeten hebben om contracten te behouden. NIS2-organisaties mogen immers geen zaken doen met leveranciers die niet voldoen aan de regelgeving.
Wanneer gaat de richtlijn in?
De NIS2-richtlijn is eind 2022 gepubliceerd, maar moet nog in Nederlandse wetgeving worden vastgelegd. Dat wordt de Cyberbeveiligingswet, die waarschijnlijk in de tweede helft van 2025 wordt gepubliceerd. In diverse andere Europese landen is de wet al in werking.
Voor wie is het relevant?
NIS2 maakt onderscheid tussen ‘essentiële’ en ‘belangrijke’ organisaties, waarbij voor essentiële organisaties hogere eisen gelden. Wat transport en logistiek betreft, vallen vooral luchtvaartmaatschappijen, spoorwegondernemingen, binnenvaart, kust- en zeevervoer en wegbeheerders in de categorie ‘essentieel’. Hiertoe horen geen wegtransportbedrijven of logistieke dienstverleners als opslagbedrijven of expediteurs. Die kunnen wel onder de categorie ‘belangrijk’ vallen. Dan gaat het specifiek om:
- Post en koerierdiensten
- Afvalstoffenbeheer, inclusief inzameling, vervoer, sorteren
- Distributie van chemische stoffen
- Distributie van levensmiddelen
Er geldt hierbij wel een ondergrens: bedrijven uit bovenstaande categorieën vallen alleen rechtstreeks onder NIS2 als ze meer 50 medewerkers of een jaaromzet van meer dan 10 miljoen euro per jaar hebben.
Let op: als jouw bedrijf niet aan deze criteria voldoet, val je niet rechtstreeks onder NIS2. Maar als jouw klant wel onder NIS2 valt, kan je toch met NIS2 te maken krijgen. Jouw klant heeft dan ook verantwoordelijkheid voor jouw cyberveiligheid als toeleverancier. Jouw klant zal dus willen weten of jouw veiligheid op orde is. Dat zal je dan moeten kunnen aantonen.
Hoe kan ik actie ondernemen?
Ga aan de slag met Samen Digitaal Veilig!
Of je nu wel of niet onder de NIS2 valt, het is altijd verstandig je cyberveiligheid steeds te vergroten. TLN heeft zich aangesloten bij het platform Samen Digitaal Veilig. Dat bevat praktische informatie en tools om met medewerkers en ICT-leveranciers eenvoudig een aantal belangrijke verbeteringsstappen te zetten. Stel jezelf de vraag: hoe is het bij jou met de digitale veiligheid? En ga aan de slag!
Val je onder NIS2?
De overheid heeft een scan ontwikkeld waarmee je kan bepalen of je onder de NIS2 valt of niet. Het lastige is dat deze tool niet helemaal geschikt is voor logistieke dienstverlening. Dat komt doordat veel ondernemers onderdeel uitmaken van verschillende toeleveringsketens.
Als je rechtstreeks onder NIS2 valt, is het zaak snel aan de slag te gaan om aan de eisen te voldoen. Realiseer je dat dit veel werk en tijd kan kosten. Een goede plek om te beginnen is het NIS2-Startpunt van het Digital Trust Center van de overheid. Daar vind je veel informatie, waaronder de 10 zorgplichtmaatregelen die je moet nemen.
Is jouw klant een NIS2-bedrijf?
Het kan zijn dat jouw klant onder de NIS2 valt en aan jou vraagt hoe het met je cybersecurity is gesteld. Je klant is namelijk verplicht om een risicoanalyses op de toeleveranciers uit te voeren. Heb je niks geregeld? Dan loop je het risico de samenwerking te verliezen.
Als je je zaken wel op orde hebt, kan je dat aantonen door certificering, bijvoorbeeld met ISO 14001. Maar dat is voor de mkb-bedrijven een veel te zwaar middel. Hiervoor is het NIS2 Quality Mark door Samen Digitaal Veilig ontwikkeld. Daarmee kan je in één keer aantonen dat jouw bedrijf voldoet aan de eisen van de NIS2-wet. Lees hier meer over het NIS2 Quality Mark.
Nuttige links
- Q&A Samen Digitaal Veilig NIS2
- E-book: NIS2 en de impact op de keten (download)
- Flowchart: Moet ik mijn organisatie registreren als NIS2-entiteit?
- mkb-lijst: 50.000 mkb-bedrijven in de NIS2 leveringsketen
- Scan: NIS2 Zelfevaluatie NL
- NIS2-Startpunt van het Digital Trust Center
Standpunt TLN
TLN ziet dat cybercrime voor bedrijven steeds vaker een probleem is. Criminelen zien digitalisering als een potentiële zwakte in de sector en richten zich op het verstoren van operationele processen, het stelen van gevoelige informatie en het plegen van financiële fraude. Door snelle technologische ontwikkelingen wordt de dreiging steeds groter. Daarnaast zorgen de oplopende geopolitieke spanningen ook voor extra dreiging, door hackersgroepen uit specifieke landen die vitale voorzieningen aanvallen of sabotageacties plegen.
Het is daarom goed dat Europa met de NIS2-richtlijn wil zorgen voor een grotere digitale weerbaarheid bij vitale sectoren. Maar ook voor andere organisaties is het voor de bedrijfscontinuïteit essentieel om serieus werk te maken van cyberbeveiliging.
TLN vindt wel dat de regelgeving duidelijk en werkbaar moet zijn. Dat is op dit moment onvoldoende het geval, vooral voor mkb-bedrijven. Voor bedrijven die deel uitmaken van verschillende toeleveringsketens is het niet altijd duidelijk of ze nu wel of niet onder NIS2 vallen. Daarnaast is voor NIS2-bedrijven onduidelijk hoe ver hun zorgplicht voor toeleveranciers reikt. Verder is TLN bezorgd over te zware en rigide eisen die NIS2-bedrijven aan hun toeleveranciers opleggen, bijvoorbeeld door ISO-certificering te eisen. TLN heeft de overheid gevraagd bij om deze punten te verwerken bij de vertaling van de NIS2-richtlijn naar de Nederlandse Cyberbeveiligingswet.
