a href="https://tc.tradetracker.net/?c=27&m=120&a=466537&r=&u=" target="_blank" rel="sponsored nofollow">

Nieuwe cyberrichtlijn NIS2 vanaf 2024

Louise de Graaf



Cyber wordt door veel bedrijven gezien als een van de grootste risico’s voor de continuïteit van hun organisatie, blijkt uit het Cyber Resilience rapport 2023 van Aon. Ook zien we dat de markt voor cyberverzekeringen sterk groeit. Dit wijst op het feit dat de risico’s de laatste jaren sterk zijn toegenomen. Ook binnen de bouw neemt het cyberrisico gestaag toe en zien we steeds vaker cyberincidenten. Welk effect zal de nieuwe cyberwetgeving hebben op bouw- en infrabedrijven? Marie-Louise de Smit van Aon beantwoord de belangrijkste vragen van dit moment.

Wat is de NIS2-richtlijn?

De Europese richtlijn NIS2 is de vervanger van de bestaande NIS-richtlijn, die eisen stelt aan de cyberweerbaarheid van ‘belangrijke’ en ‘essentiële’ diensten. De nieuwe wetgeving zorgt ervoor dat meer organisaties verplicht worden om technische en organisatorische maatregelen te nemen om hun cyberveiligheid te verhogen. Daarnaast moeten zij procedures voor het melden van incidenten vaststellen, incidenten monitoren en een plan voor voortdurende naleving ontwikkelen. Om aan deze eisen te kunnen voldoen, moeten afdelingen en belanghebbenden binnen bedrijven en organisaties met elkaar samenwerken en ervoor zorgen dat iedereen zijn verantwoordelijkheden begrijpt. Er zal bovendien meer nadruk gelegd worden op de verantwoordelijkheid die directie / bestuur heeft voor het cyberrisico.

Is de bouw een ‘belangrijke’ / ‘essentiële’ sector?

Helaas is dat niet zo simpel te zeggen. Welke bedrijven en organisaties zullen worden aangemerkt als ‘belangrijk’ of ‘essentieel’ moet nog duidelijk worden. Maar dat bouw- en infrabedrijven direct of indirect met de nieuwe cyberwet te maken zullen krijgen, is wel zeker. Als toeleverancier of contractpartij van essentiële entiteiten zullen zij namelijk vaak aan dezelfde eisen moeten voldoen. Daarom is het verstandig om op tijd te beginnen met de voorbereiding. Enerzijds omdat je daarmee jouw contractuele verplichtingen kunt blijven nakomen en mogelijke (juridische) geschillen met klanten of zakenpartners voorkomt. Anderzijds levert het je ook direct voordeel op. Het helpt je jouw eigen systemen en activa beschermen, maar ook die van jouw klanten en partners. Hierdoor verklein je het risico op dure beveiligingsincidenten en verbeter je de digitale veiligheidspositie van jouw organisatie, en daarmee ook jouw reputatie en geloofwaardigheid. 

Wat kunnen bedrijven nu al doen?

Het is belangrijk dat organisaties eerst een GAP-analyse uitvoeren om te bepalen aan welke eisen zij op dit moment al voldoen. Voor de resterende eisen kunnen zij een roadmap opstellen. Het is daarbij van belang te bedenken dat cyberweerbaarheid niet een eenmalige exercitie is, maar een cyclisch proces dat bestaat uit een aantal onderdelen:

  • Maatregelen nemen om een cyberrisico te voorkomen of verkleinen, zoals een workshop voor het bestuur om voldoende kennis te verkrijgen van het risico om er over te kunnen beoordelen, maar ook een cyberbewustzijnstraining voor collega’s.
  • Risico’s in kaart brengen en kwantificeren, zodat de mogelijke gevolgen en impact van een incident bekend zijn.
  • Organisatie zodanig inrichten dat zij adequaat kunnen reageren op een incident, bijvoorbeeld door een crisisplan op te stellen en een crisisteam op te richten dat regelmatig oefent met scenario’s.
  • Verzekeren van het restrisico, zodat de financiële en organisatorische gevolgen van cyberincidenten beperkt blijven.

Wat is de eerste stap?

Of bedrijven nu wel of niet worden aangemerkt als ‘belangrijk’ of ‘essentieel’, het is vrijwel zeker dat ze direct of indirect met de nieuwe wetgeving te maken krijgen. Daarom is het belangrijk dat organisaties het onderwerp op de directieagenda voor 2024 zetten en ruimte en budget vrijmaken om ermee aan de slag te gaan, om op tijd voorbereid te zijn.



Website

Lees ook deze artikelen

Plaats een reactie