Nieuwe cyberwet dwingt bedrijven tot maatregelen

De wet omvat een set aan regels die primair gericht is op bedrijven waarvan een verstoring brede maatschappelijke impact kan hebben. Zowel de Europese energie-infrastructuur als het spoornetwerk zijn bijvoorbeeld het doelwit van Russische staatshackers. Waar de focus van NIS zes sectoren omvatte, waaronder de energievoorziening, digitale infrastructuur en gezondheidszorg, reikt opvolger NIS2 veel verder. Ook levensmiddelenbedrijven, overheid en chemische industrie vallen nu bijvoorbeeld onder de nieuwe wet. In totaal gaat het om 10.432 Nederlandse bedrijven die aan de nieuwe regels moeten voldoen, verspreid over zeventien sectoren.

Bedrijven in de relevante sectoren zijn straks onder andere verplicht om basisveiligheidsmaatregelen toe te passen, waaronder het gebruik van sterke wachtwoorden en het uitvoeren van software-updates. Ook moeten zij de continuïteit van de organisatie na een ernstige aanval kunnen garanderen, bijvoorbeeld via back-ups en crisismanagement. Daarnaast moeten zij zich registreren en zijn zij verplicht om bij de toezichthouder melding te maken van cyberincidenten in hun bedrijf. Het gaat om bestaande nationale toezichthouders die per sector kunnen verschillen.

Hoewel er dus beweging in de markt is, gebeurt er bij de meeste bedrijven uit het midden- en kleinbedrijf (mkb) volgens Daan Hoogendijk, programmadirecteur van Samen Digitaal Veilig, “heel weinig” en gaat wat er gebeurt “tergend traag”. Hoogendijk: “Ik vrees dat het de maanden voorafgaand aan de implementatie van NIS2 rennen wordt voor iedereen. Dat hebben we ook gezien bij de invoering van de privacywet AVG.” Slechts 38 procent van de ondervraagde mkb-bedrijven heeft zich al “heel veel” of “veel” in de NIS2-wetgeving verdiept, tegenover 58 procent uit het grootbedrijf.

Toch kijkt de programmadirecteur met optimisme naar de nieuwe wet. “Uiteindelijk wordt de ketenbenadering hierdoor de standaard”, blikt Hoogendijk vooruit. “En ik verwacht dat binnen een jaar of drie ook het mkb zijn cyberhygiëne op orde heeft.” Hij verwijst naar een set aan basisveiligheidsmaatregelen die elk bedrijf standaard zou moeten toepassen, waaronder het gebruik van sterke wachtwoorden en het uitvoeren van software-updates. “Vergelijk het met je deur op slot doen, dat is ook een routine die je elke dag automatisch toepast.” Van de ondervraagde organisaties uit het grootbedrijf zegt 40 procent deze maatregelen al volledig toe te passen; in het mkb en onder zzp’ers bedraagt dit percentage ongeveer een kwart.

Zoals gezegd is een van de kernpunten van de nieuwe wet dat bedrijven ook de cyberrisico’s in beeld moeten hebben vanuit hun eigen toeleveringsketen, en dat afspraken rond cyberveiligheid contractueel moeten worden vastgelegd met deze ketenpartners.

Dit is het een realiteit waar ook de kleinere bedrijven rekening mee moeten zullen houden. Zo legde een grote supermarktketen bij al zijn Nederlandse toeleveranciers alvast het dringende verzoek neer om hun beleid op het vlak van cyberveiligheid toe te lichten, vertelt Hoogendijk. “De boodschap luidde: ofwel jullie laten een certificaat zien, ofwel we zetten de samenwerking stop. Het gros van deze foodbedrijven heeft helaas nog te weinig focus op cybersecurity.”

Het is dus zaak dat ook de kleinere bedrijven het been bijtrekken om hun cyberveiligheid op orde te krijgen en aan de nieuwe Europese wet voldoen.

Afgelopen jaar kreeg bijna driekwart van de Nederlandse bedrijven te maken met een cyberaanval. Lees meer over dit onderwerp in het artikel 'Cyberaanval schudt ondernemer lang niet altijd wakker'.

Lees verder in de technologiesector

Technologie, Media & Telecom (TMT) is een van de snelst groeiende sectoren. Geholpen door de toenemende inzet van software, algoritmen en sensoren staat deze sector aan de basis van de digitale vernieuwing van andere sectoren.

Bekijk alle artikelen