Europese cyberwetten: dit gaan ze voor je bedrijf betekenen

Alle bedrijven, ook kleine mkb-bedrijven, die ‘essentiële diensten’ leveren moeten in 2023 voldoen aan de nieuwe ‘cyber security’-richtlijnen. Dat is volgens Europarlementariër Bart Groothuis hard nodig. “Europa zit midden in een ransomware-pandemie.” Daarom werkt hij, samen met andere Europese politici, aan NIS2, de nieuwe cybersecuritywetgeving.

NIS 2

Om Europa beter te beschermen tegen cyberaanvallen komt er een nieuwe Europese cybersecuritywet: de NIS 2. Wat betekent de NIS 2 voor mkb’ers in Nederland?

Wat voor wet is de NIS 2?

“NIS staat voor netwerk- en informatiesystemen. Op dit moment geldt in Europa NIS 1, een wet voor essentiële bedrijven, zoals water- en telecombedrijven. NIS 2 verhoogt de cybersecurity-eisen door heel Europa en merkt meer organisaties aan als essentieel bedrijf. Het gaat om zo’n 160.000 organisaties over heel Europa. Bedrijven moeten daardoor voldoen aan hogere eisen en krijgen meer hulp van de overheid, bijvoorbeeld wanneer ze getroffen worden.”

En ja, er komen boetes. “We willen liever geen boetes uitdelen. Maar als een bestuurder aantoonbaar nalatig is, en keer op keer gewaarschuwd is, dan willen we tanden hebben om te bijten. Dat is nieuw. We maken cybersecurity voor het eerst ‘chefsache’, ofwel cybersecurity is niet meer een zaak die je overlaat aan je IT-beheerder, maar waar je zelf als bestuurder verantwoordelijk voor bent.”

Waarom is een nieuwe wet nodig?

De eerste reden: cybercriminelen bedenken razendsnel nieuwe manieren om organisaties aan te vallen. “De technische ontwikkelingen gaan erg snel. NIS 1 geldt sinds 2018 en is verouderd. Niet elke lidstaat past de wet overal gelijk of strikt toe. Als je nu met andere Europese landen zakendoet of in meerdere landen een vestiging hebt, gelden er overal verschillende regels. Dat werkt niet. Daar gaan we één lijn in trekken.”

Een tweede reden voor een nieuwe wet: cybercrime zit in de lift. “We zitten in een ransomware-pandemie. De politie registreerde 14.000 gevallen van cybercrime in 2021. Dat is een toename van bijna een derde vergeleken met een jaar eerder en drie keer meer dan in 2019. We moeten iets aan onze beveiliging doen om het aantal ransomeware-aanvallen naar beneden te brengen.”

Gaat NIS 2 voor mkb’ers gelden?

“Iedereen die een essentiële dienst aan consumenten levert, valt onder de nieuwe wet. Dus ook kleine dienstverleners. We steggelen nog over wat we precies verstaan onder ‘essentieel’.” Internet service providers, kleine fabrieken, bedrijven die te maken hebben met water of energie: dat soort bedrijven zullen als essentieel worden gezien, verwacht Groothuis.

Als de NIS 2 straks niet voor jouw bedrijf geldt, betekent dat niet dat je niets aan veiligheid hoeft te doen

Wat gaat de wet betekenen in de praktijk?

“Het Europees Parlement wil geen draak van een wet invoeren die kleine bedrijven onnodig op kosten jaagt”, zegt Groothuis. Voor veel mkb’ers zal NIS 2 geen gevolgen hebben, tenzij je essentieel bent. Dan moet je gecertificeerd zijn en zul je vaker bezoek krijgen van een toezichthouder. “Dat is belangrijk omdat het IT-landschap voor essentiële dienstverleners continu verandert en de beveiligingssystemen niet mogen verouderen.”

Als de NIS 2 straks niet voor jouw bedrijf geldt, betekent dat niet dat je niets aan veiligheid hoeft te doen, vindt Groothuis. “Het gaat er niet om of jij onderdeel bent van de vitale infrastructuur, het gaat erom of een ransomware hacker jou interessant genoeg vindt voor zijn business model. Cybersecurity is dus belangrijk voor alle ondernemers. Datalekken kunnen altijd en bij ieder bedrijf ontstaan. Je bent als ondernemer altijd verantwoordelijk voor de klantgegevens die je in je bezit hebt.”

Inwerkingtreding

De Raad en het Europees Parlement bereikten op 12 mei 2022 een voorlopig akkoord over de NIS 2-richtlijn. Zodra het akkoord definitief is goedgekeurd, moeten de lidstaten de richtlijnen binnen 21 maanden in hun nationale recht en wetgeving omzetten.

Dit kun je doen

Wat kunnen ondernemers nu al doen om zichzelf te beschermen? Groothuis geeft drie basisadviezen.

• Stel je systemen zo in, dat je kunt zien wie op welk moment waar in het systeem aanwezig is. Op die manier zie je sneller dat je gehackt bent.
• Maak goede back-ups. “Als je voldoet aan alle regels en eisen betekent het niet dat je nooit gehackt kan worden. Maar als het gebeurt en je hebt back-ups, dan kun je in ieder geval snel weer door.”
• Stel multifactor-authenticatie in voor je accounts. “Dat schrikt de meeste hackers af, ook al hebben ze je al gehackt.”