Zo spoedig mogelijk. Je kunt het misschien het adagium noemen van digitaal specialist Van Vianen. Als een van de partners startte hij de afdeling BDO Digital – Cyber Security binnen de internationale accountants- en adviesorganisatie. Ondernemers zijn volgens hem nog niet uit de startblokken geschoten om aan de richtlijn te gaan voldoen. Het gesprek ademt dan ook een gevoel van urgentie. Als opvolger van NIS
(Network and Information Security) richt NIS2 zich op meer sectoren en gelden regels ook voor transport, logistiek én post- en koeriersdiensten.

Van Vianen spreekt er wekelijks meerdere ondernemers over. Komen ze in actie of leunen ze vooralsnog achterover? ‘Gelukkig zie ik steeds meer beweging. De meeste transport- en logistieke bedrijven oriënteren zich op wat NIS2 inhoudt en wat ze moeten doen. Anderen zijn al verder en kijken naar de balans tussen wat ze al gedaan hebben en wat volgens de richtlijn nog moet gebeuren. Een kleine voorhoede is al ISO 27001 of anderszins gecertificeerd of bezit keurmerken. Die ondernemers hoeven vaak niet veel meer te doen.’

Essentieel of belangrijk
Wat de effecten zijn van de richtlijn op je bedrijf, hangt af van hoe jouw organisatie eruitziet, legt Van Vianen uit. ‘Transportondernemingen met meer dan 250 medewerkers, een omzet vanaf 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro, heten volgens NIS2 essentieel. Heb je een kleinere, middelgrote organisatie van minimaal 50 medewerkers en een jaaromzet én balanstotaal van meer dan 10 miljoen euro, dan ben je volgens NIS2 belangrijk.’

Essentiële organisaties spelen een vitale rol in de economie en maatschappij van de EU. De NIS2-richtlijn legt strengere toezichtmaatregelen op aan deze organisaties om een hoog niveau van cyber security te waarborgen. Dit omvat proactief toezicht, waarbij autoriteiten regelmatig inspecties en beoordelingen kunnen uitvoeren. Zelfs zonder specifieke aanleiding zoals een incident. Organisaties die worden aangeduid als ‘belangrijk’ worden onderworpen aan een lichter toezichtregime. Deze monitoring is reactief van aard. Dit betekent dat de autoriteiten pas in actie komen na een incident of bij aanwijzingen van het niet naleven van de wet. Je zult daarom eerst helder moeten krijgen tot welke categorie jouw organisatie behoort.

Risicoanalyse
Over de inrichting van het toezicht en de sancties voor bedrijven die hun zaken onvoldoende op orde hebben, wordt momenteel op nationaal  niveau druk beraadslaagd. Van Vianen richt zich liever op het proactieve deel van het verhaal: wat kunnen bedrijven nu al doen? ‘De uitdaging zit vooral in de leveranciersketen’, waarschuwt hij al meteen. ‘Nadat je hebt vastgesteld of je belangrijk of essentieel bent, voer je een gedegen risicoanalyse uit. Het is immers zaak zo snel mogelijk de dreigingen voor jezelf in kaart te brengen en tevens naar je keten te kijken. Stel daarbij vragen als: wie zijn onze ketenpartners, wat is onze rol binnen de keten en hoe kunnen ICT veiligheidsincidenten
bij ketenpartners ons raken? Want daarop moet je je opdrachtgevers en toeleveranciers gaan beoordelen.’

Boter bij de vis
Wat voor veel veranderingsprocessen geldt, geldt ook hier: de dialoog met ketenpartners is cruciaal. ‘Ga met je toeleveranciers in gesprek en bespreek wat je qua cyberveiligheid van elkaar verwacht én wat haalbaar is. Niet iedere partij kan immers aan dezelfde eisen voldoen. Je moet dit stukje leveranciersmanagement echt op orde hebben om überhaupt te kunnen werken onder NIS2’, zegt Van Vianen.

Tot slot gaat het om boter bij de vis: met welke beheersmaatregelen kunnen ondernemers hun cyberveiligheid managen en aan hun zorgplicht voldoen? Van Vianen: ‘Veel toeleveranciers zullen aantoonbaar moeten maken welke beheersmaatregelen zij hebben
ingeregeld. Dit kan bijvoorbeeld door het keurmerk van Samen Digitaal Veilig.’

Voor jezelf
SLA’s (service-level agreements) zullen nog een uitdaging worden, denkt hij. ‘Veel organisaties hebben met hun toeleveranciers afspraken vastgelegd en daar komen door NIS2 nu ineens aanvullende maatregelen bij. Dan kan de vraag rijzen: wie gaan de extra kosten voor extra cyberveiligheidsmaatregelen betalen? Er zullen de komende tijd daarom veel nieuwe SLA’s tussen partijen opgesteld moeten worden.’ Tot slot wijst Van Vianen erop dat deze transitie niet moet worden gezien als een ‘ticking the boxes’-exercitie. ‘Je doet dit niet primair voor de toezichthouder, maar voor je eigen ICT-veiligheid, dus voor jezelf.’

3 praktische tips voor ondernemers die onder de NIS2 vallen:

1. Voer een NIS2-analyse uit om een eerste indruk te krijgen welke 13 punten
   er in de NIS2 staan en in hoeverre je er grofweg aan voldoet.
2. Doe een NIS2-assessment om diepgaand inzicht te krijgen waar je al
   voldoet en waar nog niet.
3. Stel een verbeterplan op en pak dit zo snel mogelijk op.

Dit artikel is reeds gepubliceerd in HUB, hét ledenblad van TLN.
Auteur: Baart Koster

Webinar Cybersecurity: wat betekent de NIS2 richtlijn voor jou?
Cybersecurity wordt steeds belangrijker. Transport- en logistieke bedrijven delen meer informatie via internet. Cybercriminelen worden steeds actiever, ook in onze sector. Om bedrijven en organisaties aan te zetten tot maatregelen om hun digitale veiligheid te vergroten, heeft de Europese Unie nieuwe wetgeving aangenomen: de NIS2 Richtlijn.

Graag nodigen we onze leden uit voor de webinar ‘Cybersecurity: wat betekent de NIS2 Richtlijn voor jou?’ op dinsdag 14 mei van 14.00-15.00 uur. Samen met het platform Samen Digitaal Veilig organiseren wij dit webinar. We geven inzicht in de impact van de nieuwe regels op het gebied van cyberbeveiliging, zodat jouw organisatie goed voorbereid is.

Meer informatie.