NIS2 is een term die je de afgelopen tijd waarschijnlijk vaker bent tegengekomen. Vaak in combinatie met woorden als verplicht, boete en aansprakelijkheid. Logisch dat veel ondernemers zich afvragen of dit ook voor hun bedrijf geldt. In deze blog leggen we het uit in gewone taal en vertellen we welke stappen je nu kunt zetten.
NIS2 is een Europese richtlijn voor digitale veiligheid. De eerste versie richtte zich vooral op grote partijen in sectoren als energie en transport. De nieuwe versie trekt die kring een stuk breder en raakt daardoor ook veel middelgrote bedrijven. De aanleiding is simpel: digitale aanvallen worden talrijker en de schade groter. Een storing of datalek bij één bedrijf kan een hele keten platleggen. De kern voor het MKB: weten welke risico’s je loopt en kunnen laten zien dat je er iets aan doet.
Dat hangt af van je sector, je bedrijfsgrootte en je positie in de keten. Als grove vuistregel richt de richtlijn zich op organisaties vanaf ongeveer 50 medewerkers of een omzet boven de tien miljoen euro, in sectoren als energie, vervoer, zorg, digitale infrastructuur en bepaalde productie.
En dit is het deel dat veel ondernemers over het hoofd zien: ook als je zelf niet rechtstreeks onder NIS2 valt, kun je er via je opdrachtgevers mee te maken krijgen. Grote klanten die wél onder de richtlijn vallen, moeten de beveiliging van hun leveranciers beoordelen. Lever je aan zo’n partij, dan kunnen zij eisen dat jij je zaken op orde hebt. Zo wordt NIS2 voor veel kleinere bedrijven alsnog relevant.
De richtlijn vraagt geen dikke map met beleid, maar wel drie concrete dingen. Je brengt je digitale risico’s in kaart en neemt passende maatregelen, zoals toegangsbeheer, back-ups en updates. Gaat er iets serieus mis, dan meld je dat binnen een korte termijn. Digitale veiligheid is expliciet een verantwoordelijkheid van het bestuur geworden. De directie kan persoonlijk aansprakelijk worden gesteld als er onvoldoende aandacht aan is besteed. Het is dus geen onderwerp dat je volledig kunt doorschuiven naar de techniek.
De boetes onder NIS2 kunnen fors oplopen, vergelijkbaar met wat we kennen van de privacywetgeving. Maar belangrijker dan de boete is vaak de schade van een incident zelf. Een aanval die je dagen platlegt, kost omzet, vertrouwen en soms klanten. De wet is een stok achter de deur; het echte risico is dat je zonder maatregelen kwetsbaar bent voor precies datgene waar de wet je tegen wil beschermen.
Je hoeft niet alles in één keer te regelen. Begin met deze stappen, dan heb je een stevige basis:
Voor de meeste MKB-bedrijven is NIS2 niet iets om er even bij te doen. Wij helpen je om de risico’s in kaart te brengen, de basismaatregelen op orde te krijgen en een werkbaar incidentplan op te zetten. De keuzes blijven bij jou, de uitvoering nemen wij uit handen. Meer over hoe we beveiliging aanpakken lees je op onze pagina over cybersecurity, en goede beveiliging begint bij degelijk systeembeheer als basis.
NIS2 hoeft geen bron van stress te zijn. Met een nuchtere aanpak is het vooral een goede aanleiding om je digitale veiligheid eindelijk goed te regelen iets waar je sowieso baat bij hebt.
Niet zeker of je voldoet aan NIS2? Plan een vrijblijvende kennismaking Geen verplichtingen, gewoon helder advies.
Vraag een vrijblijvende kennismaking aan of laat ons adviseren welke trainingen bij jullie situatie passen.
