NIS2 – Cybersecurity wetgeving voor de Industrie
door Isotron op 04 mei 2023
Cybersecurity voor de industrie is nog nooit zo belangrijk geweest als vandaag de dag. Niet alleen bleek vorig jaar dat de maakindustrie de meeste cyberaanvallen te verwerken kreeg, maar ook is de Europese Unie de wetgeving aan het aanscherpen. Met de introductie van NIS2 breidt de EU bestaande NIS-wetgeving uit. In Nederland was de oorspronkelijke NIS-wetgeving opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Uitbreiding vitale sectoren
Met het invoeren van de vernieuwde NIS2 worden onder andere het aantal vitale sectoren uitgebreid waardoor een groter deel van de industriële sector onder deze wetgeving komt te vallen. Hierdoor vallen bijvoorbeeld niet alleen gezondheidszorg, energie- en watervoorzieningen onder de wetgeving, maar ook voedselproductie, afvalwater/beheer, watermanagement, ruimtevaart en de productie van overige kritische producten.
Hoewel de focus ligt op het midden- en grootbedrijf zijn de verwachtingen dat de wetgeving zich verder in de supply chain zal bewegen wanneer deze bedrijven meer eisen gaan stellen aan hun toeleveranciers. Hierdoor zullen ook kleinere bedrijven die leveren aan deze industrieën er goed aan doen om zich hierop voor te bereiden.
Zorg- en meldplicht
Het belangrijkste waar de wetgeving in voorziet is een zorgplicht en een meldplicht. Een meldplicht is hierin redelijk helder. Wanneer er zich bijvoorbeeld een hack voordoet is een bedrijf verplicht hier melding van te maken. De zorgplicht is een stuk veelomvattender, het verplicht organisaties om hun cybersecurity op orde te hebben. Wat dit allemaal behelst zal per organisatie verschillen, maar het zal iedereen gaan verplichten om op zijn minst over de cybersecurity na te denken en te onderbouwen waarom welke keuzes gemaakt zijn. Om het geheel nog meer kracht bij te zetten gaan er flinke boetes volgen die in de miljoenen kunnen lopen wanneer bedrijven niet voldoen aan de nieuwe wetgeving. Daarnaast is de verwachting dat bestuurders persoonlijk aansprakelijk gesteld kunnen worden wanneer blijkt dat er nalatig is gehandeld.
Wat nu?
Tegenwoordig zijn sommige maatregelen echter eenvoudig te implementeren, denk aan traceability, MFA (Multi-Factor Authentication) en IAM (Identity & Access Management). Onder de nieuwe wetgeving zal het dan ook moeilijker worden om te verantwoorden waarom deze niet zijn geïmplementeerd. Maar ook het niet bijhouden en updaten van software met de laatste security patches is niet meer te verantwoorden.
Benieuwd naar hoe Isotron u kan ondersteunen met onze oplossingen? Neem contact met ons op.