NIS2: voorbereid of te laat?
Cyberaanvallen zijn geen uitzondering meer, want dat hebben we wel opgemerkt de laatste tijd in het nieuws, datalek na datalek. De aanvallen horen inmiddels bij de dagelijkse realiteit. Ransomware, datalekken en systeeminbraken raken organisaties niet alleen financieel, maar zorgen vooral voor verlies van vertrouwen bij klanten en partners en dat is wat je nou precies niet wilt. Wat wij vaak opmerken is dat veel organisaties vaak toch nog steeds denken: “NIS2 zal voor ons wel niet gelden.”, maar de kans is groot dat je er wél mee te maken krijgt, dit kan direct of via klanten en leveranciers in je keten.
De Europese NIS2-richtlijn wordt in Nederland omgezet naar de Cyberbeveiligingswet (CBW) en de Tweede Kamer heeft inmiddels ingestemd met de wetsvoorstellen, dus daarmee komt de wetgeving steeds dichterbij. Voor veel organisaties, ook binnen het MKB wordt aantoonbare cybersecurity straks geen nice-to-have meer, maar gewoon een harde eis.
Waarom dit ook het MKB raakt
Veel ondernemers denken nog dat NIS2 alleen bedoeld is voor grote corporates of overheden, maar dat is helemaal niet zo. Werk je samen met grotere organisaties, leveranciers of klanten die onder NIS2 vallen? Dan worden security-eisen automatisch doorgezet in de keten. Daardoor krijg je er indirect alsnog mee te maken. En wie zien vaak dat daar niks mee gedaan wordt en dat vorm een risico.
Veel organisaties hebben onvoldoende inzicht in hun kwetsbaarheden, weten niet wie waarvoor verantwoordelijk is of merken pas te laat dat processen afhankelijk zijn van ‘hoe we het altijd deden’ en hierdoor raakt cybersecurity daardoor niet alleen jouw IT-omgeving, maar je hele organisatie.
NIS2 gaat niet over een map vol documenten of een checklist afwerken. Het draait om digitale weerbaarheid die echt werkt in de praktijk. Je moet nagaan of je risico’s kunt herkennen, of jouw werknemers weten wat er moet gebeuren bij een incident en dat je daadwerkelijk kunt aantonen dat jouw beveiliging op orde is. Als jij ‘Ja’ kan antwoorden, perfect dan ben je al goed op weg, maar als er alleen al een twijfel is, dan is het nodig om hiermee aan de slag te gaan, zodat je boetes misloopt.
Wat zeker belangrijk is om te weten, is dat er (nog) geen officieel NIS2-certificaat bestaat. Organisaties moeten dus op andere manieren laten zien dat ze grip hebben op hun informatiebeveiliging. Daarom combineren veel organisaties NIS2 met bijvoorbeeld ISO 27001 als aantoonbaar fundament.
Tijd om in actie te komen
Wat gebeurt als je het te lang uitstelt? Veel organisaties zien NIS2 nog als een compliance-verhaal, terwijl de impact veel groter is. Wie cybersecurity niet serieus neemt, loopt niet alleen risico op boetes, maar ook op verlies van klanten, reputatieschade, stilstand en problemen binnen samenwerkingen of aanbestedingen. Steeds vaker willen organisaties namelijk zeker weten dat hun leveranciers digitaal veilig werken. NIS2 maakt daarom één ding heel duidelijk, dat cybersecurity geen IT-project meer is, maar direct onderdeel van je bedrijfsvoering.
Hebben we je een beetje wakker geschut met deze informatie? Mooi, want organisaties moeten vandaag de dag niet alleen veilig zijn, maar ook kunnen aantonen dat ze hun digitale risico’s serieus nemen. Wie nu begint, bouwt rust, overzicht en vertrouwen op. Wie blijft wachten, loopt straks achter de feiten aan. Meer lezen over de wetgeving? Hier vind je de informatie van de overheid.
Benieuwd waar jouw organisatie staat? Plan vrijblijvend een gesprek met één van onze experts en krijg direct inzicht in je risico’s, aandachtspunten en verbeterkansen.