Wat betekent de NIS2 cybersecurity richtlijn voor het MKB en MSP’s?

Vanuit tien security focussen wij op het MKB en werken we nauw samen met verschillende MSP’s. In deze blog zoeken we uit wat er juist voor het MKB of een MSP belangrijk is bij de NIS2 richtlijn.

De afgelopen jaren is het aantal cyberaanvallen enorm toegenomen. Phishing, ransomware en malware zijn de bekende cyberdreigingen die je dagelijks leest in het nieuws. We zijn, zoals al zo vaak benoemd, volledig afhankelijk van technologie om de zaak lopende te houden. Dit betekent dat cybersecurity niet langer optioneel zou moeten zijn; het moet een essentiële voorwaarde zijn voor het goed functioneren van een bedrijf of organisatie. Om een goede cyberbeveiliging in heel Europa te implementeren, keurde het Europees Parlement de NIS2 goed. Deze richtlijn moet Europa verder voorbereiden op het digitale tijdperk.

De NIS2 is een richtlijn die tot doel heeft de cyberbeveiliging in heel Europa te verbeteren. Dit betekent dat komende periode een groot aantal (mkb-)bedrijven hun netwerkbeveiliging op orde zal moeten hebben, met name Managed Service Providers. Wat staat er in NIS2, op wie is de richtlijn van toepassing en wat kun je als MS(S)P en MKB doen om jou en je klanten veilig te houden?

Wat zijn de NIS2 richtlijnen?

NIS2-richtlijnen zijn de tweede generatie instructies voor netwerk- en informatiesystemen. De richtlijn is opgesteld om een hoog niveau van gemeenschappelijke beveiliging van netwerken en informatiesystemen in de hele EU te bevorderen. De eerste versie van NIS dateert uit 2016. Het is vooral gericht op grote bedrijven en organisaties die essentiële diensten leveren aan de samenleving. NIS is bijvoorbeeld voor elektriciteits-, netwerk- en waterleveranciers. Jarenlang moesten ze maatregelen nemen om hun informatie te beschermen en hun cyberweerbaarheid te optimaliseren.

Met NIS2 zullen de richtlijnen van toepassing zijn op meer industrieën. Dat geldt straks ook voor banken, medische instellingen, transportbedrijven, fabrieken die voedsel of andere belangrijke huishoudelijke artikelen produceren en MSP’s. Kleinere bedrijven zijn vrijgesteld van NIS2, ook als zij diensten leveren die u essentieel acht. Grenzen kunnen 10 miljoen jaaromzet of 50 werknemers zijn. Het zal nog enige tijd duren voordat de NIS2-richtlijn in Nederland van kracht wordt (zie kader). Dit geeft het bedrijf de tijd om zich voor te bereiden.

Zorgplicht en melding

De basis van de NIS2-richtlijn bestaat uit twee delen: de zorgplicht en de meldplicht.

Een zorgplicht vereist dat een organisatie haar volledige infrastructuur bezit en veilig houdt. Dit betekent onder meer dat er een manier moet zijn om te monitoren wat er op het netwerk gebeurt. Dit zal een grote impact hebben. Het kan bijvoorbeeld zijn dat een organisatie moet voldoen aan de ISO 27001-norm. Voor veel organisaties betekent dit een flinke investering.

Op grond van de meldplicht moeten organisaties melden wanneer zij een cyberincident tegenkomen. Deze meldplicht geldt nu alleen voor datalekken, maar ook zaken als ransomware-aanvallen of misbruik van kwetsbaarheden moeten nu worden gemeld. Door deze meldplicht kunnen bedrijven beter van elkaar leren hoe ze hun beveiliging kunnen optimaliseren.

Sancties voor overtredingen

Organisaties van voldoende omvang die niet voldoen aan de eisen van de NIS2-richtlijn kunnen een boete krijgen van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Verder kunnen personen met relevante bevoegdheden of (management)rollen op het gebied van cybersecurity persoonlijk aansprakelijk zijn voor inbreuken.

Dit komt u wellicht al enigszins bekend voor. Deze sancties zijn vrijwel identiek aan die voor het overtreden van de AVG-richtlijnen. Daarom zou, na de regels voor privacy, de NIS2-richtlijn verantwoordelijk moeten zijn voor netwerkbeveiliging.

Beveiliging in kaart brengen

Veel organisaties zullen hard moeten werken om hun netwerkbeveiliging te perfectioneren. Dit geldt natuurlijk voor hostingproviders. De exacte definitie van een “serviceprovider” is niet vastgesteld, maar we kunnen ervan uitgaan dat u als middelgrote tot grote MSP aan deze richtlijnen gebonden zult zijn. Hoewel de Nederlandse overheid nog niet precies heeft besloten aan welke eisen bedrijven moeten voldoen, is het verstandig om alvast het volwassenheidsniveau van uw cybersecurity vast te stellen.

• Is er een informatiebeveiligingsbeleid?
• Zijn medewerkers zich bijvoorbeeld bewust van de risico’s en herkennen zij phishingmails?
• Gebruikt u beveiligingsmaatregelen zoals multi-factor authenticatie?
• Hoe zit het met Identity en Access Management (IAM)?

De NIS2-richtlijn biedt een kans voor MSP

Ten eerste moet je als MSP ervoor zorgen dat je de richtlijnen volgt. Maar ook uw klanten binnen uw MKB-onderneming moeten aan het werk. Dit vereist expertise die mogelijk niet aanwezig is binnen de organisatie. Overweeg monitoringsystemen. Voor veel organisaties zou het interessant zijn om dit uit te besteden aan een partij die een Security Operations Center (SOC) en aanvullende cybersecurity taken ‘as a service’ levert.

Ook kun je als MSP goed werk leveren om (nog) niet-essentiële bedrijven of organisaties die te klein zijn om gebonden te zijn aan de NIS2-richtlijn, ervan te overtuigen dat het altijd verstandig is om hieraan te voldoen. Uiteindelijk loopt elk bedrijf, ongeacht de omvang, een serieus risico als er geen stappen worden gezet. Goede cybersecurity voor zoveel mogelijk organisaties is uiteindelijk in het belang van de samenleving als geheel.

Heb je vragen hierover? Benieuwd naar onze SOC As A Service? Neem dan gelijk contact met ons op.