Op 17 oktober 2024 treedt de nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging, bekend als de NIS2-richtlijn, in werking, wat een cruciale verschuiving in de benadering van cyberbeveiliging betekent. De richtlijn richt zich op het versterken van de digitale weerbaarheid in essentiële sectoren. In Nederland zal NIS2 worden geïmplementeerd in nationale wetgeving via de Cyberbeveiligingswet (Cbw), die naar verwachting in het derde kwartaal van 2025 in werking zal treden. Bedrijven in Nederland zullen echter nog steeds moeten voldoen aan de NIS2, zelfs als er nog geen nationale wetgeving is. 

Dit artikel is geschreven door Mourad Seghir ([email protected]). Mourad maakt deel uit van RSM Netherlands Business Consulting Services met een focus op Finance & Cybersecurity.  

Volgens recente bevindingen uit het Alert Online-trendonderzoek  , uitgevoerd door Ipsos I&O in opdracht van het Ministerie van Economische Zaken, heeft een opvallende 32% van de kleine bedrijven in Nederland geen actie ondernomen om hun onlineactiviteiten te beveiligen. Dit is een sterke stijging ten opzichte van 2023, toen slechts 19% van de kleine bedrijven aangaf geen maatregelen te hebben genomen. Verder blijkt uit de bevindingen dat phishing nog steeds de meest voorkomende vorm van cybercriminaliteit is, waarbij 58% van de werknemers het afgelopen jaar werd getroffen, en ICT-professionals zelfs met een nog hoger percentage van 72%.

De gegevens benadrukken een duidelijk verschil in cyberbeveiligingsbereidheid tussen kleine en grote bedrijven, waarbij kleinere organisaties zelfs moeite hebben met het implementeren van basismaatregelen zoals twee-factor authenticatie of regelmatige back-ups van gegevens. Belangrijkste opname: Kleine bedrijven worden geconfronteerd met uitdagingen op het gebied van gereedheid voor cyberbeveiliging en lopen het risico kwetsbaar te worden nu de NIS2-richtlijn van kracht wordt.

Weinig bekendheid met NIS2-vereisten

Een ander belangrijk punt van zorg uit het Alert Online-rapport is het gebrek aan bewustzijn over de NIS2-richtlijn bij bedrijven en hun werknemers. Terwijl 45% van de ICT-professionals in sectoren die onder NIS2 vallen bekend zijn met de richtlijn, heeft slechts 33% van alle ICT-professionals in andere sectoren ervan gehoord. Van de werknemers in het algemeen is 85% niet op de hoogte van NIS2, waarbij negen van de tien werknemers zich niet realiseren dat hun organisatie mogelijk onder het toepassingsgebied van de richtlijn valt.

Dit gebrek aan bewustzijn vormt een risico, omdat organisaties onvoorbereid kunnen zijn om te voldoen aan de compliance-eisen van NIS2 en, uiteindelijk, de Cybersecurity Act.
Belangrijkste conclusie: Bewustmaking en grotere betrokkenheid van kleine bedrijven en hun werknemers zijn van cruciaal belang voor een succesvolle implementatie van NIS2.

Risicobeperkende strategieën voor bedrijven

1. Een risicoanalyse uitvoeren

Digitale bedreigingen kunnen aanzienlijke risico's inhouden voor de activiteiten en reputatie van een bedrijf. Het opstellen van een duidelijk en cyclisch risicobeheerbeleid is essentieel voor het handhaven van een passend niveau van digitale veerkracht. Een uitgebreide risicoanalyse moet het volgende omvatten:

Belangrijkste conclusie: Een op maat gemaakte risicoanalyse biedt een basis voor het nemen van weloverwogen beslissingen over het beperken van geïdentificeerde risico's.

2. Passende maatregelen implementeren

Organisaties moeten proactieve stappen ondernemen om hun veerkracht op het gebied van cyberbeveiliging te vergroten. Op basis van de resultaten van de risicoanalyse moeten bedrijven maatregelen overwegen zoals:

Voor kleine bedrijven kan het aannemen van basisbeveiligingspraktijken zoals multi-factor authenticatie en regelmatige back-ups hun weerbaarheid tegen cyberbedreigingen aanzienlijk verbeteren.

Belangrijkste conclusie: Aangepaste, proactieve maatregelen zijn essentieel voor het handhaven van compliance en het verbeteren van de veerkracht.

3. Procedures voor het reageren op incidenten opstellen

Organisaties die onder NIS2 vallen, moeten procedures opstellen voor het melden van incidenten aan het nationale en/of sectorale CSIRT (Computer Security Incident Response Team) en de relevante toezichthoudende autoriteit. Belangrijke overwegingen zijn onder andere:

Nu phishing nog steeds de meest voorkomende vorm van cybercriminaliteit is, is het voor bedrijven van vitaal belang om werknemers te voorzien van de kennis en middelen die nodig zijn om incidenten effectief af te handelen.

Belangrijkste conclusie: Een robuust kader voor incidentrespons is essentieel om te voldoen aan NIS2 en de impact van cyberincidenten te minimaliseren.

Forward Thinking: Voorbereiden op de Cyberbeveiligingswet

De overgang naar de Cyber Security Act markeert een verandering in het cyberbeveiligingslandschap in Nederland. Grote organisaties zijn wellicht beter toegerust om met deze veranderingen om te gaan, maar kleine bedrijven moeten een zware strijd leveren op het gebied van bewustwording en paraatheid. Om naleving van de wet te bereiken en hun digitale activa te beschermen, moeten bedrijven proactief stappen ondernemen om het bewustzijn te vergroten, grondige risicobeoordelingen uit te voeren en beveiligingsmaatregelen op maat te implementeren.

Organisaties moeten gebruik maken van de beschikbare middelen en deskundige begeleiding om hun cyberbeveiligingspositie te versterken en ervoor te zorgen dat ze volledig zijn voorbereid op de nieuwe regelgeving. Door deze stappen te nemen, kunnen bedrijven niet alleen naleving bereiken, maar ook veerkracht opbouwen tegen de steeds veranderende dreiging van cyberaanvallen.

RSM is 'Thought Leader' op het gebied van strategieconsultancy. We bieden regelmatig inzichten door middel van training en het delen van thought leadership dat is gebaseerd op een gedetailleerde kennis van wettelijke verplichtingen en praktische toepassingen in het werken met onze klanten. Als je meer wilt weten, neem dan contact op met een van onze consultants.