Delta-NNieuwe security-richtlijn gaat ook gelden voor toeleveranciers

De security-richtlijn NIS2 wordt aangepast. De meest opvallende wijziging: de nieuwe richtlijnen gelden niet alleen voor grote bedrijven, maar ook voor hun toeleveranciers.

Nieuwe security-richtlijn gaat ook gelden voor toeleveranciers

De NIS2-richtlijn bestaat al sinds 2016. De richtlijn verplicht grote bedrijven om te investeren in hun security, zodat ze beter beschermd zijn tegen hacks en andere digitale bedreigingen.

Momenteel geldt de wetgeving voor wat worden omschreven als 'essentiële entiteiten’, zoals banken en ziekenhuizen. Deze richtlijn wordt aangepast, en vanaf dat moment geldt de richtlijn voor álle bedrijven die in de keten zitten.

Dit betekent dat als jouw eindklant een essentiële entiteit is, je mogelijk te maken krijgt met nieuwe regels om aan te voldoen.

Val ik onder de wetgeving en zo ja, per wanneer?

Laten we je geruststellen: de wetgeving is in de maak, maar nog niet klaar. Nederland moet de nieuwe wetgeving in oktober 2024 klaar hebben, maar er is altijd een kans dat de politiek hier langer de tijd voor nodig heeft. Welke bedrijven onder de regeling vallen, weten we pas zeker als de wetgever de nieuwe wetten heeft geformuleerd.

Wat we wel weten is voor welke bedrijven de NIS2 op dit moment geldt. Op haar website geeft de NCTV een helder overzicht:

Dit betekent dat als jouw bedrijf levert aan een bedrijf in bovenstaand overzicht, je waarschijnlijk aan de slag moet.

Met welke eisen krijg ik te maken?

Bedrijven die een dienst of een product leveren aan een essentiële entiteit, kunnen te maken krijgen met strengere richtlijnen. Om compliant te zijn met NIS2, zijn er verschillende verplichtingen:

  • Zorgplicht: Je voert een risicobeoordeling uit en implementeert passende beveiligingsmaatregelen.
  • Registratieplicht: Je meldt jouw organisatie aan bij het Nationaal Cybersecurity Centrum.
  • Meldplicht: Vindt er een hack of ander incident plaats? Deze moeten binnen 24 uur worden gerapporteerd en binnen 72 uur officieel worden gemeld.
  • Toezichtplicht: Er wordt toegezien op naleving van de verplichtingen.

Hierop kan worden gecontroleerd door de toezichthouder, bijvoorbeeld tijdens een bezoek of achteraf (als er een incident is geweest). Een inspecteur kan dan vragen om inzicht in het auditregister, incident respons plan, leveranciersbeoordelingen en certificeringen.

 

Delta-N kan je helpen

Deze eisen zijn streng, maar er is een lichtpuntje. Als jouw bedrijf al certificaten heeft, zoals ISO of NEN, is de kans groot dat je al aan veel eisen voldoet. Dat maakt het makkelijker om alle processen en dossiers op tijd op orde te hebben. Zeker als je op tijd begint.

Toch kunnen we ons wel voorstellen dat de nieuwe richtlijn overweldigend is. Daarom is Delta-N beschikbaar om je te helpen om aan de regels te voldoen. Dit doen we door eerst te inventariseren wat er al geregeld is en daarna alle nodige stappen te maken richting compliancy. Meer weten? Neem gerust contact met ons op.

Over de auteur

Jean-Paul Bingen is Security Awareness Lead bij Delta-N en helpt bedrijven te voldoen aan wet- en regelgeving.