Je ontvangt een brief van het NCSC. Je bedrijf valt onder de nieuwe Cyberbeveiligingswet. Je hebt vier maanden om je aan te melden, een risicoanalyse te doen en aantoonbare maatregelen te treffen. Jouw IT-leverancier weet van niks.
Dit scenario speelt zich op dit moment af bij honderden Nederlandse bedrijven. De Cyberbeveiligingswet, de Nederlandse vertaling van de Europese NIS2-richtlijn, is in aantocht. Waar NIS1 nog nagenoeg alleen grote vitale aanbieders raakte, trekt NIS2 de grens fors lager. Middelgrote bedrijven in sectoren als energie, transport, waterbeheer, digitale infrastructuur, maar ook zakelijke en financiële dienstverlening, kunnen er nu onder vallen.
Het is geen regelgeving die je rustig kunt afwachten tot er een boete valt.
Wie valt eronder?
De wet maakt onderscheid tussen "essentiële" en "belangrijke" entiteiten. Essentieel zijn bedrijven in sectoren als energie, transport en drinkwater, met meer dan 250 medewerkers of een jaaromzet boven 50 miljoen euro. Belangrijk zijn bedrijven in iets bredere sectoren, zoals post, afvalverwerking, voedingsmiddelen en digitale aanbieders, als ze meer dan 50 medewerkers hebben of boven 10 miljoen euro omzet zitten.
Zit je als toeleverancier of dienstverlener in een keten van een essentiële aanbieder? Dan kun je indirecte verplichtingen verwachten via contracten. Opdrachtgevers in die sectoren gaan steeds vaker eisen dat ook hun leveranciers aantoonbaar aan de eisen voldoen.
Wat verwacht de wet van je?
De kern is een zorgplicht. Je moet risico's voor je netwerk- en informatiesystemen in kaart brengen en passende maatregelen nemen. De wet schrijft geen specifieke technologie voor, maar noemt wel concrete thema's:
- Incidentenbeheer: hoe detecteer je een incident en wat doe je dan?
- Toegangsbeveiliging: wie heeft toegang tot welke systemen, en is dat nog actueel?
- Beveiliging van de toeleveringsketen: hoe zeker ben je van de software en diensten die je inkoopt?
- Back-up en herstel: kun je aantonen dat je systemen hersteld kunnen worden na een aanval?
- Meldplicht: significante incidenten moet je binnen 24 uur melden bij de toezichthouder.
Dit klinkt als IT-werk, maar het begint bij processen. Als je geen overzicht hebt van welke systemen je kritisch zijn voor je bedrijfsvoering, kun je er geen risicoanalyse op doen.
Wat gaat er in de praktijk mis?
Veel bedrijven die wij spreken, hebben hun beveiliging door de jaren heen opgebouwd als een lappendeken. Een antiviruspakket hier, een firewall van de internetprovider daar, een cloudopslag die ooit handig was en waar nu ook klantgegevens in staan. Niemand die het overzicht heeft.
De Cyberbeveiligingswet vraagt om iets anders: een aantoonbaar beheersbaar geheel. Niet perfect, want perfect bestaat niet in security. Maar wel gedocumenteerd, bewust en herhaalbaar. De toezichthouder wil kunnen zien dat je nagedacht hebt over risico's en dat je beleid hebt voor als het misgaat.
Een ander knelpunt is de toeleverketen. Je kunt intern je zaken prima voor elkaar hebben, maar als je een softwareleverancier gebruikt die zijn beveiliging niet op orde heeft, ben jij kwetsbaar. De wet rekent je dat aan.
Hoe pak je dit aan?
Begin klein en concreet. Drie stappen die je direct kunt zetten:
1. Breng je kroonjuwelen in kaart. Welke systemen, data en processen zijn echt kritisch voor je bedrijf? Denk aan je orderadministratie, klantgegevens, productieplanning. Die lijst is het startpunt van je risicoanalyse, en hij hoeft niet uitputtend te zijn om nuttig te zijn.
2. Toets je toegangsbeveiliging. Hebben oud-medewerkers nog toegang tot systemen? Gebruik iedereen hetzelfde wachtwoord voor de gedeelde mailbox? Dit zijn bekende zwakke plekken die je op een middag kunt dichten met een wachtwoordmanager en tweestapsverificatie.
3. Vraag je leveranciers om verantwoording. Stuur je IT-leverancier, softwareleverancier en cloudprovider een paar gerichte vragen. Hoe gaan zij om met beveiligingsupdates? Wat doen ze bij een incident? Leg de antwoorden vast.
Dit is geen volledige implementatie van de wet, maar het is een begin waarmee je kunt laten zien dat je het serieus neemt.
De wet als aanleiding, niet als last
Wij zien bedrijven die NIS2 gebruiken als excuus om eindelijk dat IT-overzicht te maken dat al jaren op de agenda stond. Dat is een verstandige houding. De wet dwingt je tot iets wat je sowieso zou moeten doen: weten wat je hebt, wie er bij kan en wat je doet als er iets misgaat.
Maatwerk helpt hier. Niet elk bedrijf heeft dezelfde risico's, en een standaardchecklist van internet past zelden op jouw specifieke situatie. Een korte analyse van je huidige situatie geeft je al snel inzicht in waar de echte kwetsbaarheden zitten.
Wil je weten of jouw bedrijf onder de Cyberbeveiligingswet valt en wat de concrete vervolgstappen zijn? Neem contact op voor een gesprek zonder verplichtingen.
