Vanaf 17 oktober 2024 is de NIS2 wet van kracht in Europa. Deze richtlijn moet Europa weerbaarder maken tegen cybercriminaliteit. Niet alle landen zullen op tijd klaar zijn om deze nieuwe regels toe te passen. Duitsland en België zullen waarschijnlijk die datum halen. Nederland iets later. Dit is een risico voor Nederlandse bedrijven met buitenlandse klanten. Als de wet in het leveringsland wel ingaat kan de klant het contract opzeggen.
Recent kregen bedrijven bericht uit Duitsland over verplichte NIS2 compliance op 17 oktober 2024. Nederlandse bedrijven moeten hier alert op zijn. Als zij nog niets hebben gehoord van hun Duitse klant is het verstandig na te vragen wat de verwachtingen zijn ten aanzien van hun leveranciers.
Wettelijke compliance wordt in Duitsland zeer serieus genomen. Inkoopcontracten bevatten vaak een clausule die wettelijke compliance vereist en feitelijk mogen Duitse bedrijven gewoon niet verder samenwerken met leveranciers die niet voldoen aan de wet. We namen contact op met de Duitse kamer van Koophandel en deze bevestigde dat Duitsland streng is qua compliance met wetten. Gründlichkeit zit in de Duitse cultuur.
Meerdere bedrijven zijn al gestart met de NIS2
Nederland loopt achter in de implementatie en er zijn nog geen wetteksten, maar de overheid roept wel op om te starten. Er zijn diverse publicaties gedaan en tools beschikbaar gesteld zoals een maatregelen QuickScan en de tekst van de Europese NIS2 richtlijn zelf. Je kunt dus nu al beginnen met je voor te bereiden.
De laatste weken zijn meerdere bedrijven gestart op Samen Digitaal Veilig met de NIS2. Op dit platform staan alle stappen die ondernemers en organisaties kunnen nemen en er zijn webinars die uitleggen wat ze moeten doen. Nederlandse bedrijven moeten hun digitale veiligheid op orde krijgen om te voldoen aan de eisen van Europese partners om verrassingen te voorkomen.
Onderlinge verschillen in Europa: onhandig maar normaal
Europese landen implementeren de NIS2-richtlijn met uiteenlopende snelheden. Dat komt door verschillen in lokale wetgeving en de complexiteit van de wetgeving in dat land. Daardoor ontstaan snelheidsverschillen. Kroatië heeft het proces al voltooid, de wetteksten zijn klaar, Duitsland heeft wetteksten voorgelegd voor goedkeuring en België staat op het punt dit ook te doen. Deze verschillen zijn niet vreemd, maar wel hinderlijk. De variabele invoerdata zijn een feit. Het benadrukt het belang voor Nederlandse bedrijven om de NIS2 te regelen en zo hun Europese klanten te behouden.
Opvallend zijn de exportcijfers die laten zien hoe belangrijk de NIS2 is. Nederlandse bedrijven exporteren voor een totaal van €500 miljard binnen de EU. De belangrijkste landen zijn Duitsland en België met een opgetelde exportwaarde van €240 miljard.
Let op: artikel 21.2d uit de NIS2 richtlijn
Erg belangrijk is artikel 21.2d: de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
Dit artikel in de richtlijn wil dat alle directe leveranciers en dienstverleners door de NIS2 bedrijven moeten worden beveiligd. Dus niet alleen de IT en OT (Information Technology en Operational Technology) van de NIS2 bedrijven, maar alle leveranciers. Die moeten ook hun IT en OT gaan regelen. De hele NIS2 richtlijn is risico gebaseerd. Het gaat dan om IT en OT-risico’s maar ook om fysieke risico’s. Het doel is om te voorkomen dat een leverancier wordt gehackt, dat die daardoor niet meer kan leveren waardoor het NIS2 bedrijf haar bedrijfscontinuïteit niet kan garanderen.
Dit moet wel in verhouding zijn. Weinig risico betekent weinig impact en dus weinig maatregelen. Maar veel risico betekent ook veel maatregelen nemen. Europa gaat voor cybersecurity werken met 3 levels waardoor niet alles voor iedereen even zwaar gaat wegen. Dat principe is hier toepasbaar.
Houding richting compliance verschillend, terwijl export en NIS hogere cybersecuritylevels afdwingen
Opvallend is soms de Nederlandse attitude richting regels en wetten. Nederland benadert compliance in de regel op een ontspannen manier met een focus op pragmatische oplossingen en samenwerking. Duitsland daarentegen gaat veelal proactief en formeel te werk. Dit wezenlijke verschil in aanpak leidt tot uitdagingen voor Nederlandse mkb-bedrijven die in Duitsland opereren, vanwege de hoge verwachtingen rond formaliteit en compliance. Voor succes in Duitsland moeten Nederlandse bedrijven wetswijzigingen voorblijven en effectief communiceren over hun compliance-inspanningen.
Conclusie
In Europa lopen per land de politieke en wettelijke structuren vaak sterk uiteen. Dit zorgt voor verschillen in snelheid. Tegelijk is het een gegeven dat de NIS2 er aankomt en dat bedrijven er dus vroeg of laat mee te maken gaat krijgen. In een zakelijke, gedigitaliseerde wereld is dat noodzakelijk. Veilig digitaal werken staat op het punt om een volgende fase in te gaan. Tot nu toe was cybersecurity voor veel bedrijven vooral gebaseerd op vrijwilligheid, met uitzondering van enkele sectoren met speciale cyberwetten en verplichtingen. De NIS2 richtlijn is veel breder en heeft impact op veel meer sectoren en heel veel bedrijven. Dat zorgt voor de nodig uitdagingen en aanpassingen maar de nieuwe richtlijn zal Nederland en bedrijven veiliger maken.
(los kader onderaan het artikel)
Wie krijgt er met NIS2 te maken?
Heel veel Nederlandse sectoren, van technologie tot landbouw, moeten rekening houden met de nieuwe NIS2 regelgeving. Zij spelen een cruciale rol in handelsrelaties. Hieronder staat een lijst met exportproducten.
Deze opsomming biedt een representatieve weergave en mag niet als uitputtend worden beschouwd. Het illustreert de diversiteit en kracht van de Nederlandse export, wat bijdraagt aan de vooraanstaande rol van Nederland als exportland in de wereld.
Directe NIS2 impact kan optreden bij:
- Machines voor de verwerking van data (zoals computers en servers)
- Telecommunicatieapparatuur (zoals mobiele telefoons en netwerkapparatuur)
- Kantoormachines (zoals printers en kopieermachines)
- Motorvoertuigen (auto-onderdelen, vrachtwagens)
- Farmaceutische producten (medicijnen, vaccins)
- Chemische producten (basischemicaliën, kunststoffen)
- Machines (productie en verpakking)
- Medische instrumenten en apparatuur
- Elektrische apparaten (huishoudelijke apparaten, verlichting)
- Voedingsproducten (verpakt en vers)
- Dranken (vruchtensap, bier, wijn, frisdranken)
- Aardolieproducten (brandstoffen, smeermiddelen)
- Metaal en metaalproducten (ijzer, staal, aluminiumproducten)
- Bouwmaterialen (tegels, glas, sanitair)
- Meubels en woninginrichting
- Software en IT-diensten
- Landbouwmachines en -uitrusting (tractoren, oogstmachines)
- Navigatie- en meetinstrumenten (GPS-systemen, weegschalen)
- Computeronderdelen en -accessoires (harde schijven, RAM-modules)
- Elektronische componenten (halfgeleiders, printplaten)
- Energieproducten (windturbines, zonnepanelen)
- Dierlijke producten (eieren, honing)
- Transport (weg en water)
- Grensoverschrijdende diensten in de IT en OT
- Consulting en engineering diensten
- Installatietechniek (diensten)
En indirecte impact kan optreden bij:
- Textiel en kleding
- Speelgoed en sportartikelen
- Papier en kartonproducten
- Scheepsbouw en -reparatie (schepen, jachten, boorplatforms)
- Fietsen en fietsonderdelen
- Muziekinstrumenten en onderdelen
- Cosmetica en schoonheidsproducten
- Schoenen en lederwaren
- Huishoudelijke artikelen en decoraties
- Sport- en recreatieartikelen
- Verpakkingsmaterialen (plastic, karton)
- Gereedschap en ijzerwaren
- Audio- en videoapparatuur
- Grafische en fotografische benodigdheden
- Software en videogames
- Bloemen en planten
Indirecte impact kan optreden als jouw klant zelf levert aan een bedrijf dat onder de NIS2 valt. Die kunnen dan algemene cybersecurity verplichtingen opleggen aan leveranciers in de leveringsketen.
Alle NIS2 sectoren die in Nederland direct onder de NIS2 vallen:
- Drinkwater
- Transport
- Bankwezen
- Infrastructuur financiële markt
- Gezondheidszorg
- Energie
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
- Digitale aanbieders
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Vervaardiging/ manufacturing