Het zal je niet ontgaan zijn. Door de Europese NIS2-richtlijn zullen veel meer transport- en vervoersbedrijven cybersecuritymaatregelen moeten nemen, ook bedrijven die nog niet eerder te maken hadden met cyberwetgeving. Er is Nederlandse wetgeving in de maak die extra cyberweerbaarheid vraagt van bedrijven die belangrijk zijn voor de samenleving en economie; de Cyberbeveiligingswet (Cbw), zo meldt het ministerie van Economische Zaken en Klimaat.
Valt mijn bedrijf onder de wet?
De wet beoogt de cyberveiligheid te versterken bij bedrijven die opereren in een kritieke sector waarbij men geen uitval kan lijden, zoals in de transportsector, betalingsverkeer, internet of zorg. Naast dat er veel meer bedrijven extra cybersecuritymaatregelen moeten nemen, komt er ook een verplichting om cyberincidenten te melden. De Cbw is in eerste instantie van toepassing op (middel)grote bedrijven en organisaties die opereren in (zeer) kritieke sectoren.
Grootte of omvang
Op een bedrijf dat in één van de bovenstaande sectoren opereert, is de nieuwe wetgeving doorgaans alleen van toepassing als het bedrijf 'groot' of 'middelgroot' is. De bedrijfsgrootte wordt gedefinieerd door aantal medewerkers, jaaromzet en balanstotaal.
Voor sommige bedrijfstakken gelden deze omvangcriteria niet. Aanbieders van openbare elektronische communicatienetwerken en -diensten, aanbieders van vertrouwensdienstverleners, registers voor topleveldomeinnamen, DNS-dienstverleners, verleners van domeinregistratiediensten en overheidsorganisaties vallen áltijd onder de Cbw, ongeacht de omvang.
Op micro- en kleine bedrijven is de wet alleen van toepassing wanneer een vakminister hen hiertoe aanwijst op basis van een risicobeoordeling. Dit kan zich voordoen als blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Ook (toe)leveranciers moeten aan de slag
Bedrijven die zelf niet aan bovenstaande criteria voldoen, kunnen toch nog - indirect - gevolgen ondervinden van deze nieuwe cyberwetgeving. De wet bepaalt namelijk dat Cbw-bedrijven ervoor moeten zorgen dat hun keten van toeleveranciers veilig is. Als uit een keteninventarisatie blijkt dat een toeleverancier impact heeft op het netwerk- en informatiesysteem van een Cbw-bedrijf, kan het Cbw-bedrijf extra beveiligingsmaatregelen eisen. Proportionaliteit is bij deze onderlinge ketenafspraken belangrijk.
Begin bij het NIS2-startpunt
Bedrijven die onder de Cbw vallen, zullen diverse cybersecuritymaatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen. Het nemen van deze maatregelen heeft enkele maanden doorlooptijd. Daarom adviseert het Digital Trust Center (DTC) om daar nu alvast mee te beginnen.
Om alle ondernemers te helpen zich zo goed mogelijk voor te bereiden op de komst van deze wetgeving, heeft het DTC alle informatie die nu voor handen is gebundeld op het NIS2-startpunt. Hier vind je achtergrondinformatie over de aankomende wet, tools en checklists waar je als ondernemer mee aan de slag moet. Ook vind je handvatten voor de 10 zorgplichtmaatregelen die in de Europese richtlijn opgenomen zijn. Totdat de uitwerking van de zorgplichtmaatregelen voor Nederland in een algemene maatregel van bestuur is uitgewerkt, geeft de Europese NIS2-richtlijn voldoende handvatten voor voorbereidende acties voor Cbw-compliancy.
Voor meer informatie:
Digital Trust Center