Nieuwe cybersecurity verplichtingen voor MKB-bedrijven in de Maakindustrie onder NIS2 richtlijn

Wat is de NIS2 richtlijn?

De NIS2 richtlijn (Network and Information Systems 2) is een belangrijke Europese wetgeving die bedoeld is om de cybersecurity binnen de EU te verbeteren. Dit door een stevigere basis te bieden voor de beveiliging van netwerk- en informatiesystemen. De richtlijn, die vanaf 17 oktober 2024 van kracht zal zijn, volgt op de oorspronkelijke NIS1 richtlijn uit 2016 en stelt aanzienlijk strengere eisen aan de deelnemende organisaties.

Belangrijke veranderingen en verplichtingen

• Strengere eisen: Er worden hogere beveiligingsstandaarden vereist, waarbij elke NIS2 organisatie zijn cybersecurity significant zal moeten verbeteren.
• Ketenzorgplicht: Volgens artikel 21.2d van de NIS2 richtlijn, zijn NIS2 organisaties verplicht de beveiliging van hun volledige leveringsketen te waarborgen. Dit houdt in dat zij op basis van risicoanalyses passende cybersecurity maatregelen moeten opleggen aan hun directe leveranciers, waaronder duizenden mkb-bedrijven.
• Meldplicht: De richtlijn introduceert ook een meldplicht voor cyberincidenten, waardoor snellere en meer gecoördineerde reacties op beveiligingsincidenten mogelijk zijn.
• Toezicht en handhaving: Om de naleving van de NIS2 richtlijn te verzekeren, worden strenge toezicht- en handhavingsmechanismen ingevoerd, inclusief mogelijk zware financiële sancties voor niet-naleving.

Europese en Nederlandse NIS2 wetgeving

Als Europese richtlijn moet de NIS2 worden omgezet in de nationale wetgeving van elk EU-lidstaat, waaronder Nederland. De aanpassingen in Nederland zullen plaatsvinden binnen de kaders van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Dit zal later dit jaar worden uitgevoerd en is essentieel voor de uniforme toepassing van cybersecuritymaatregelen binnen alle sectoren.

Omvang van de uitdaging

Het totale aantal MKB-bedrijven dat wordt geraakt door deze nieuwe regelgeving varieert van 50.000 tot 70.000, een substantieel deel van de 197.000 Nederlandse bedrijven met meer dan 5 werknemers. Deze bedrijven moeten nu niet alleen zorgen voor hun eigen cybersecurity, maar ook voor die van hun leveranciers binnen de keten. Voor de vervaardigingssector betekent dit een aanzienlijke verhoging van de normen voor digitale veiligheid, aangezien zij vaak een sleutelrol spelen in de leveringsketens van kritieke infrastructuren.

Cybersecuritymaatregelen afhankelijk van risico

Elke NIS2 organisatie is verplicht om een risicoanalyse uit te voeren en op basis daarvan passende cybersecuritymaatregelen op te leggen aan hun directe leveranciers. Dit vereist een gedetailleerde beoordeling van de risico's die specifiek zijn voor elk segment van de keten, met als doel het identificeren en adresseren van kwetsbaarheden die kunnen leiden tot inbreuken of verstoringen in de dienstverlening.

Implementatie en uitdagingen

Voor de vervaardigingssector brengt de implementatie van de ketenzorgplicht specifieke uitdagingen met zich mee. Deze sector is divers en omvat een breed scala aan bedrijven, van kleine werkplaatsen tot grote fabrieken, die allemaal moeten voldoen aan zowel basisvereisten van cyberhygiëne als aan geavanceerde cybersecurityoplossingen, afhankelijk van de vastgestelde risico's. Het managen van deze diversiteit en de uitgebreide reikwijdte van de leveringsketens wordt een kernuitdaging.

Factoren die leiden tot verplicht samenwerken

Een cruciale drijfveer voor naleving is de wettelijke verplichting voor NIS2 organisaties om ervoor te zorgen dat hun leveranciers veilig opereren. Indien dit niet het geval is, kan de directie of het bestuur van de desbetreffende organisatie hoofdelijk aansprakelijk worden gesteld. Dit zorgt voor een dwingende reden voor MKB-bedrijven in de vervaardigingssector om samen te werken en te voldoen aan de gestelde eisen, zodat zij hun relaties met grote klanten kunnen behouden en versterken.

Conclusie

De invoering van de ketenzorgplicht onder de NIS2 richtlijn is een ambitieuze stap naar een meer geïntegreerde en robuuste benadering van cybersecurity binnen de Europese Unie. Het benadrukt de noodzaak voor alle betrokken bedrijven, vooral in de vervaardigingssector, om een actieve rol te spelen in het beschermen tegen digitale dreigingen en het ondersteunen van de algehele digitale veiligheid van Europa.