Op 10 november heeft het Europees parlement een nieuwe wet aangenomen, NIS2. Deze wet is bedoeld om de digitale infrastructuur en de informatiesystemen van de Europese Unie te beschermen tegen cyberdreigingen en incidenten. Op dit moment geldt in Europa NIS1, een wet voor essentiële bedrijven, zoals water- en telecombedrijven. NIS2 zal impact hebben op veel meer bedrijven.
Een flink aantal bedrijven moet verplicht maatregelen nemen op het vlak van cybersecurity. Je kunt dan denken aan:
- Het maken van een risicoanalyse en beleid inzake de beveiliging van informatiesystemen
- Bedrijfscontinuïteit en crisisbeheer; zoals back-ups en noodherstel
- De beveiliging van de toeleveringsketen, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking, dit moet in kaart worden gebracht. Je moet zeker weten dat ze veilig werken.
- Veiligheidsscans
- Computerhygiëne van medewerkers
- Het goed regelen van toegangsbeheer
- Het melden van incidenten en inbreuken
- Samenwerken met leveranciers om concrete inzage te krijgen in wat ze doen en hoe ze cybersecuritymaatregelen implementeren
In Nederland zal NIS2, net als NIS1, onderdeel zijn van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De verwachting is dat de wet in september 2024 van kracht wordt. Dat lijkt nog ver weg, maar we adviseren om op tijd te beginnen. De nieuwe wet vraagt veel voorbereiding. Een reële inschatting is om daarmee te starten in het eerste of tweede kwartaal van 2023, maar er nu al over na te denken. Zo voorkom je haastwerk en verbeter je de kwaliteit van je cyberveiligheid.