De Europese Cyberbeveiligingswet zit eraan te komen. Zoals het er nu uitziet, gaat deze nieuwe wetgeving in het derde kwartaal van dit jaar gelden, wat betekent dat alle betreffende organisaties tegen deze tijd moeten voldoen aan de nieuwe wet- en regelgeving.
Raakt deze nieuwe wetgeving ook jouw onderneming? En wat houdt het precies in? We zetten het op een rijtje.
Wat is de Cbw, a.k.a. de NIS2?
De Cyberbeveiligingswet bestaat uit de NIS2 (‘Network and Information Security Directive’) die is geïnitieerd door de Europese Unie. Deze is in het leven geroepen omdat de digitale veiligheid in de EU steeds meer onder druk komt door bedreigingen van buitenaf. Voor Nederland is de NIS2 omgezet in de nationale Cyberbeveiligingswet (Cbw).
De wet zal gaan gelden voor alle bedrijven die ‘essentieel’ of ‘belangrijk’ zijn, waaronder aangewezen overheidsinstanties, maar ook zorginstellingen zoals ziekenhuizen en de GGz (als ‘kritieke entiteiten’). Meer informatie over welke organisaties hier precies onder vallen, vind je hier uiteengezet.
Maar let op: ook als je samenwerkt met dergelijke organisaties (als client bijvoorbeeld) wordt er van je verwacht dat je van de nieuwe regels op de hoogte bent en voldoende bent voorbereid.
De 10 Zorgplichtmaatregelen
De Cbw schrijft tien zogenaamde ‘zorgplichtmaatregelen’ voor waar organisaties ten minste aan moeten voldoen. Dit zijn:
Maak een risicoanalyse;
Versterk de beveiliging op het gebied van personeel, toegang en assetbeheer;
Maak een bedrijfscontinuïteitsplan (BCP);
Richt 'Incident Response' in (wat doe je als reactie op incidenten?);
Zorg dat cyberhygiëne op orde is;
Schrijf beleid op de beveiliging van netwerk- en informatiesystemen;
Maak je toeleveringsketen veilig;
Maak beleid op cryptografie en encryptie;
Gebruik Multi-Factor Authenticatie of andere beveiligde authenticatieoplossingen;
Hanteer processen om de effectiviteit van maatregelen te beoordelen.
Op deze site van de overheid leggen ze per punt uit wat dit precies inhoudt en hoe je eraan kunt voldoen.
Niet essentieel? Werk aan deze Basismaatregelen
Als je zelf geen 'essentiële' of 'belangrijke' organisatie bent, maar er wel mee samenwerkt, hoef je niet aan al deze maatregelen te voldoen.
Maar het kan je wel helpen als je hierop voorbereid bent, want de kans is groot dat je cliënten je gaan vragen om beveiligingsmaatregelen en hoe je hieraan voldoet.
Voldoen aan een aantal basismaatregelen kan je dan ook een voorsprong geven op je concurrentie, of voorkomen dat je wordt buitengesloten van samenwerking.
Wij raden je daarom aan om te werken aan deze basismaatregelen:
Werk met een informatiebeveiligingsbeleid (al is het compact), waarin je beschrijft wat je doet aan cybersecurity;
Zorg voor sterke toegangsbeveiliging (zoals Multi-Factor Authenticatie), back-ups en monitoring;
Sluit goede overeenkomsten af over data en beveiliging;
Overweeg een certificering of verklaring van beveiligingsmaatregelen (bijv. ISO, NEN, DigiD assessment).
Conclusie
Of je nu zelf een essentiële organisatie bent, of niet, de kans is groot dat de nieuwe Cyberbeveiligingswet ook jouw bedrijf gaat raken. We raden dan ook aan om je nu alvast in de nieuwe wet- en regelgeving te verdiepen en te bekijken wat jij kunt doen om je hierop voor te bereiden. De links in deze blog helpen je hierbij.
Bekijk bijvoorbeeld ook hier ons eerdere blog met 5 praktische tips voor laagdrempelige cybersecurity, die allen onderdeel zijn van de Cbw.
