Nieuwe wetgeving voor cyber security actief 2023

Cybercriminaliteit heeft een dermate ontwrichtende werking en de ontwikkelingen op dit vlak gaan zo snel dat de wetgeving hierop moet worden aangepast. De nieuwe NIS2 richtlijn en de DORA verordening scherpen de regelgeving op het gebied van cyber security aan. Zowel de NIS2 als de DORA worden naar verwachting nog dit jaar of begin 2023 actief. In dit artikel leest u wat deze regelgevingen in grote lijnen inhouden, zodat u kunt onderzoeken wat ze voor uw organisatie betekenen.

Network and Information Security 2
De NIS richtlijn is de eerste EU-wetgeving specifiek voor digitale veiligheid  en is in Nederland geïmplementeerd in 2018. De richtlijn heeft voor een zekere verbetering gezorgd van digitale veiligheid van de EU-lidstaten. De wetgeving biedt inmiddels echter onvoldoende houvast voor de steeds toenemende dreiging binnen het cyber security landschap.

De Europese Commissie heeft daarom de nieuwe NIS2 richtlijn in het leven geroepen. Hierin worden de beveiligingseisen voor meerdere sectoren aangescherpt. Handhavingsvereisten en rapportageverplichtingen worden uitgebreid. En de beveiliging van toeleveringsketens wordt geadresseerd. De NIS2 richtlijn moet worden gezien als het nieuwe pakket Europese basismaatregelen op het gebied van cyber security.

Digital Operational Resilience Act
De DORA verordening is specifiek gericht op de financiële sector en op cruciale derde partijen die deze sector ICT-gerelateerde diensten verlenen. De DORA stelt eisen aan de digitale weerbaarheid van o.a. banken, beleggingsinstellingen, aanbieders van crypto en andere handelsplatformen en aan een betere beheersing van de risico´s van uitbesteding aan kritieke derde dienstverleners.

Samenwerking tussen instanties
Er wordt ook aangestuurd op het vormen van één organisatie die in Nederland beheer heeft over kennis en informatie op het gebied van cyber security. Dat zou het probleem moeten oplossen dat sectoren onderling nog te weinig informatie delen en niet van elkaars lessen profiteren.  Inmiddels is namelijk wel duidelijk dat elk type organisatie te maken kan krijgen met een cyberaanval. Van de lokale bakker tot aan een kerncentrale. De impact is echter vaak verschillend.

Zo’n gezamenlijke organisatie zou er in 2026 moeten zijn. Tot die tijd is het zaak dat organisaties zoals Het Nationaal Cybersecurity Centrum (NCSC) en het Digital Trust Center (DTC) samenwerken om de kennis en dreigingen van cyber security goed en veilig over te brengen naar alle verschillende sectoren.

Op wie is de wetgeving cyber security van toepassing?
Alle bedrijven, ook kleine mkb-bedrijven, die ‘essentiële diensten’ leveren moeten in 2023 voldoen aan de nieuwe ‘cyber security’-richtlijnen. NIS2 zal van toepassing zijn op middelgrote en grote organisaties (tenzij een kleine entiteit een zeer hoog beveiligingsrisicoprofiel heeft): alle entiteiten in een van de genoemde sectoren met ten minste 50 werknemers en een omzet van ten minste 10 miljoen euro per jaar.

Dat is volgens Europarlementariër Bart Groothuis ook hard nodig.(*) “Europa zit midden in een ransomware-pandemie.” Daarom werkte hij, samen met andere Europese politici, aan NIS2, de nieuwe cybersecuritywetgeving.

En ja, er komen boetes. “We willen liever geen boetes uitdelen. Maar als een bestuurder aantoonbaar nalatig is, en keer op keer gewaarschuwd is, dan willen we tanden hebben om te bijten. Dat is nieuw. We maken cyber security voor het eerst ‘chefsache’, ofwel cyber security is niet meer een zaak die je overlaat aan je IT-beheerder, maar waar je zelf als bestuurder verantwoordelijk voor bent.”

House in order!
Bent u klaar voor een ‘house in order’ aanpak van cyber security binnen uw organisatie? Of wilt u weten of de nieuwe wetgeving op u van toepassing zal zijn? Aarzel dan niet om contact op te nemen via info@tt3p.nl. Wij helpen u graag.

(*) Bron: Kvk.nl