NIS2: Wij zijn een "belangrijke sector"
en hebben dus een meldplicht!
NIS2 (Network and Information Security Directive) moet zorgen voor een betere cyberbeveiliging binnen de EU van essentiële diensten en digitale dienstverleners. Vooralsnog gaat het om een wetsvoorstel, maar zal eind 2024 van toepassing zijn.
Remco Glashouwer
Auteur
Twee sectoren
De richtlijn kent 2 sectoren, te weten Essentiële sectoren en Belangrijke sectoren en ook 2 gradaties van plichten, namelijk een zorgplicht en een meldplicht. Bedrijven in onze bedrijfstak zullen met name vallen onder ‘Belangrijke sectoren met een meldplicht’. Dit heeft te maken met het feit dat grafimediabedrijven een rol hebben in de communicatie van bedrijven die als Essentieel worden aangemerkt.
Organisaties die onder de NIS2 richtlijn vallen
Essentiele sectoren
- Energie
- Transport
- Bankwezen
- Infrastructuur financiële markt
- gezondheidszorg
- Drinkwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Afvalwater
- Overheidsdiensten
- Ruimtevaart
Belangrijke sectoren
- Vervaardiging/manufacturing
- Post- en koeriersdiensten
- Digitale aanbieders
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
Zorgplicht en meldplicht
Jouw klanten uit belangrijke sectoren hebben een zorgplicht om hun data maximaal te beschermen, ook in de keten. Jouw klanten uit essentiële sectoren hebben daarboven een meldplicht, waarbij deze bedrijven incidenten binnen 24 uur moeten melden bij de toezichthouder.
Voor gepersonaliseerd druk- en printwerk beschikken grafimediabedrijven bijvoorbeeld over veel informatie (data) van klanten in essentiële sectoren. Hiermee ligt de verantwoordelijkheid mede bij jou.
Nu alvast actie ondernemen
Er is een aantal acties die je alvast zelf in gang kan zetten, zoals:
- Inventariseren en analyseren van risico’s rond netwerk en informatiebeveiliging.
- Opstellen van bedrijfscontinuïteitplannen en protocollen voor crisisbeheersing.
- Identificeren van alternatieve toeleveringsketens.
- Interne capaciteit (tijd en geld) reserveren die nodig is om aan de richtlijnen te voldoen.
- Bewustwording van personeel van risico’s bij het verwerken van informatie (uit onderzoek blijkt dat de mens de zwakste schakel is. Onbewuste en onbedoelde acties blijken een groter risico dan bewuste en gerichte cyberaanvallen).
Wacht niet te lang
Het duurt misschien nog even maar deze wetgeving zal voor veel bedrijven van toepassing zal zijn. De verwachting is ook dat er in 2025 een tekort aan adviseurs én certificeerders zal ontstaan. Met als gevolg dat veel bedrijven niet op tijd aan de zorgplicht en meldplicht kunnen voldoen. Je begrijpt ons advies 😉 wacht niet te lang met stap 1: het maken van een risicoanalyse. Wij helpen je graag met jouw digitale weerbaarheid!