De NIS2 richtlijn, een update en vervolg op de eerdere NIS1 richtlijn, speelt een cruciale rol in het versterken van de cybersecurity binnen de Europese Unie. Met een uitbreiding van het toepassingsgebied en strengere beveiligingseisen, beïnvloedt deze nieuwe wetgeving direct de beveiligingspraktijken van ruim 10.000 organisaties en een geschatte 50.000 leveranciers binnen Europa, inclusief de Nederlandse maakindustrie.
De NIS2 richtlijn (Network and Information Systems 2) is een belangrijke Europese wetgeving die bedoeld is om de cybersecurity binnen de EU te verbeteren. Dit door een stevigere basis te bieden voor de beveiliging van netwerk- en informatiesystemen. De richtlijn, die vanaf 17 oktober 2024 van kracht zal zijn, volgt op de oorspronkelijke NIS1 richtlijn uit 2016 en stelt aanzienlijk strengere eisen aan de deelnemende organisaties.
Als Europese richtlijn moet de NIS2 worden omgezet in de nationale wetgeving van elk EU-lidstaat, waaronder Nederland. De aanpassingen in Nederland zullen plaatsvinden binnen de kaders van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Dit zal later dit jaar worden uitgevoerd en is essentieel voor de uniforme toepassing van cybersecuritymaatregelen binnen alle sectoren.
Het totale aantal MKB-bedrijven dat wordt geraakt door deze nieuwe regelgeving varieert van 50.000 tot 70.000, een substantieel deel van de 197.000 Nederlandse bedrijven met meer dan 5 werknemers. Deze bedrijven moeten nu niet alleen zorgen voor hun eigen cybersecurity, maar ook voor die van hun leveranciers binnen de keten. Voor de vervaardigingssector betekent dit een aanzienlijke verhoging van de normen voor digitale veiligheid, aangezien zij vaak een sleutelrol spelen in de leveringsketens van kritieke infrastructuren.
Elke NIS2 organisatie is verplicht om een risicoanalyse uit te voeren en op basis daarvan passende cybersecuritymaatregelen op te leggen aan hun directe leveranciers. Dit vereist een gedetailleerde beoordeling van de risico's die specifiek zijn voor elk segment van de keten, met als doel het identificeren en adresseren van kwetsbaarheden die kunnen leiden tot inbreuken of verstoringen in de dienstverlening.
Voor de vervaardigingssector brengt de implementatie van de ketenzorgplicht specifieke uitdagingen met zich mee. Deze sector is divers en omvat een breed scala aan bedrijven, van kleine werkplaatsen tot grote fabrieken, die allemaal moeten voldoen aan zowel basisvereisten van cyberhygiëne als aan geavanceerde cybersecurityoplossingen, afhankelijk van de vastgestelde risico's. Het managen van deze diversiteit en de uitgebreide reikwijdte van de leveringsketens wordt een kernuitdaging.
Een cruciale drijfveer voor naleving is de wettelijke verplichting voor NIS2 organisaties om ervoor te zorgen dat hun leveranciers veilig opereren. Indien dit niet het geval is, kan de directie of het bestuur van de desbetreffende organisatie hoofdelijk aansprakelijk worden gesteld. Dit zorgt voor een dwingende reden voor MKB-bedrijven in de vervaardigingssector om samen te werken en te voldoen aan de gestelde eisen, zodat zij hun relaties met grote klanten kunnen behouden en versterken.
De invoering van de ketenzorgplicht onder de NIS2 richtlijn is een ambitieuze stap naar een meer geïntegreerde en robuuste benadering van cybersecurity binnen de Europese Unie. Het benadrukt de noodzaak voor alle betrokken bedrijven, vooral in de vervaardigingssector, om een actieve rol te spelen in het beschermen tegen digitale dreigingen en het ondersteunen van de algehele digitale veiligheid van Europa.