NIS2: Versterking van Cyberbeveiliging in de EU en de Impact op MKB’s

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) markeert een belangrijke stap voorwaarts in de cyberbeveiligingsstrategie van de Europese Unie. Door het bereik uit te breiden naar meer sectoren en bedrijven, waaronder kleine en middelgrote ondernemingen (MKB’s), streeft deze regelgeving ernaar de veerkracht van kritieke infrastructuren te versterken en een hoog niveau van beveiliging in netwerken en informatiesystemen te waarborgen.

Wie wordt geraakt door de NIS2?

De NIS2-richtlijn is van toepassing op publieke en private entiteiten die actief zijn in sectoren die als essentieel of belangrijk worden beschouwd. Dit omvat onder andere de sectoren energie, vervoer, financiën, gezondheid, drinkwater, digitale infrastructuur, postdiensten, afvalbeheer en de productie van kritische producten. MKB’s die in deze sectoren opereren of deel uitmaken van de toeleveringsketen, vallen ook onder de bepalingen van de NIS2.

Verplichtingen voor MKB’s onder de NIS2

MKB’s die onder de NIS2 vallen, moeten een reeks technische en organisatorische maatregelen implementeren om de risico’s van cyberbeveiliging te beheersen. Hieronder enkele belangrijke maatregelen:

• Het ontwikkelen van informatiebeveiligingsbeleid.
• Het implementeren van opleidingsprogramma’s en bewustwordingscampagnes over cyberbeveiliging voor personeel.
• Het opstellen van procedures voor incidentbeheer en bedrijfscontinuïteitsplannen.
• Het waarborgen van veiligheid in de toeleveringsketen en bij de verwerving, ontwikkeling en onderhoud van systemen.
• Het aannemen van beschermingsmaatregelen zoals data-encryptie en multi-factor authenticatie.

Bovendien moeten MKB’s significante beveiligingsincidenten binnen een bepaalde termijn, meestal tussen de 24 en 72 uur, melden bij de bevoegde autoriteiten, afhankelijk van de ernst van het incident.

Voorbereiding en uitdagingen voor MKB’s

Ondanks de urgentie van deze maatregelen, ondervinden veel MKB’s aanzienlijke uitdagingen bij de naleving van de NIS2. Volgens het "Cyberpreparedness Report 2023" van Hiscox erkent 43% van de MKB’s niet te beschikken over een formeel incidentresponsplan. Een studie van INCIBE wijst daarnaast uit dat 70% van de Spaanse MKB’s geen budget voor cyberbeveiliging heeft.

Deze cijfers onthullen een aanzienlijke kloof tussen de eisen van de NIS2 en de realiteit van de bedrijfswereld, vooral wat betreft de beschikbare economische en menselijke middelen voor cyberbeveiliging.

Aanbevolen stappen voor MKB’s

Om zich aan te passen aan de NIS2, wordt MKB’s aangeraden om:

1. Een cyberbeveiligingsaudit uit te voeren om kwetsbaarheden te identificeren en risico’s te beoordelen.
2. Beleid en procedures voor veiligheid op te stellen en te implementeren.
3. Personeel op te leiden in cyberbeveiligingspraktijken en bewustwording over risico’s.
4. Incidentbeheerprotocollen en bedrijfscontinuïteitsplannen op te stellen.
5. De beveiliging in de toeleveringsketen te monitoren en te beheren.

Bovendien kunnen MKB’s overwegen om erkende standaarden zoals ISO 27001 of het Nationaal Veiligheidskader (ENS) aan te nemen om hun nalevingsinspanningen te structureren.

Conclusie

De NIS2-richtlijn legt nieuwe verplichtingen op het gebied van cyberbeveiliging die een breed scala aan bedrijven, inclusief MKB’s, beïnvloeden. Hoewel de aanpassing een uitdaging kan zijn, vooral in termen van middelen, is het essentieel om de integriteit van informatiesystemen te beschermen en de continuïteit van het bedrijf te waarborgen in een steeds meer gedigitaliseerde wereld die blootgesteld wordt aan cyberdreigingen.