Schrijf je in voor onze dagelijkse nieuwsbrief om al het laatste nieuws direct per e-mail te ontvangen!

Inschrijven Ik ben al ingeschreven

U maakt gebruik van software die onze advertenties blokkeert (adblocker).

Omdat wij het nieuws gratis aanbieden zijn wij afhankelijk van banner-inkomsten. Schakel dus uw adblocker uit en herlaad de pagina om deze site te blijven gebruiken.
Bedankt!

Klik hier voor een uitleg over het uitzetten van uw adblocker.

Meld je nu aan voor onze dagelijkse nieuwsbrief en blijf up-to-date met al het laatste nieuws!

Abonneren Ik ben al ingeschreven
Robert van Vianen (BDO) over nieuwe NIS2-richtlijn

"Cybersecurity doe je niet primair voor de toezichthouder, maar voor jezelf"

Tholen - Bij de term NIS2-richtlijn zal er bij weinig AGF-handelaren en telers een lampje gaan branden, maar de cyberveiligheidswet zal wel tot de verbeelding spreken. "Cybercriminaliteit is inmiddels een van de grootste vormen van criminaliteit. Zo zien OM en politie een aantal belangrijke ontwikkelingen waaronder de opkomst van datadiefstal en -handel, het zorgwekkend aandeel van jonge cybercrimeverdachten en de vermenging met traditionele criminaliteit", constateert Robert van Vianen. Als partner van de internationale accountants- en adviesorganisatie is hij medeverantwoordelijke voor de afdeling BDO Digital – Cyber Security, waar inmiddels veertig mensen werkzaam zijn.

Wat is de NIS2-richtlijn?
De NIS2-richtlijn is een opvolger van de bestaande NIS-richtlijn en omvat dertien cybersecurity-eisen voor essentiële of belangrijke sectoren én hun toeleveranciers, die worden omgezet in wetgeving. Het betreft een Europese richtlijn die moet worden omgezet in nationale wetgeving. Momenteel ligt de conceptwet in Nederland ter internetconsultatie. In eerste instantie zou die oktober dit jaar al van start gaan, maar die startdatum is inmiddels opgeschoven naar volgend jaar. Organisaties die essentieel of belangrijk zijn voor de maatschappij én hun toeleveranciers, worden verplicht om systemen en processen te beveiligen tegen cyberaanvallen met als doel de digitale veiligheid te verbeteren.

Wie valt onder de NIS2-richtlijn?
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens bepaalde criteria gekenmerkt worden als 'essentiële' of 'belangrijke' entiteit. De levensmiddelensector valt onder de 'belangrijke' entiteiten. Aan de hand van de sector waarin een organisatie actief is en de grootte van een organisatie, wordt bepaald of deze onder de NIS2-richtlijn valt, en daarmee ook onder de Cyberbeveiligingswet.

De grootte van een organisatie wordt bepaald aan de hand van twee categorieën. Hiervoor zijn de volgende criteria vastgesteld:

  • Groot: Minimaal 250 personen werkzaam óf een jaaromzet van meer dan 50 miljoen euro, en een balanstotaal van meer dan 43 miljoen euro.
  • Middelgroot: Minimaal 50 personen werkzaam óf een jaaromzet van meer dan 10 miljoen euro, en een balanstotaal van meer dan 10 miljoen euro.

Micro- en kleinbedrijven vallen in principe niet onder de NIS2-richtlijn.

Registratieplicht, zorgplicht, meldplicht en toezicht
"Als je onder deze richtlijn valt, moet je voldoen aan een aantal verplichtingen: registratieplicht, zorgplicht, meldplicht en toezicht. Zo moeten alle bestuurders en DGA's getraind worden in cyberrisico's, zij worden namelijk hoofdelijk aansprakelijk gesteld", stelt Robert. "Een andere belangrijke voorwaarde is de meldplicht bij significante incidenten, zoals een ransomware-aanval die leidt tot financiële verliezen of operationele schade. Dit moet worden gemeld bij de toezichthouder. Omdat de levensmiddelensector als 'belangrijk' wordt gezien, maar niet als essentieel, mag de toezichthouder niet proactief audits uitvoeren. Zij komen alleen langs op het moment dat er een significant incident heeft plaatsgevonden. Daarbij mag de toezichthouder boetes opleggen als er niet aan de voorwaarden is voldaan, maar dat is niet de hoofddoelstelling."

"Het belangrijkste actiepunt is voldoen aan de zorgplicht om aan de minimale beveiligingsvoorwaarden te voldoen. Hiervoor is een risicoanalyse nodig, die onder meer vereist om de leveranciersketen in kaart te brengen. Je moet dus zelf met je belangrijkste leveranciers om tafel om te bespreken wat je verwacht aan minimale beveiligingsnormen. Bovendien moeten al deze maatregelen aantoonbaar zijn, dat is de rode draad binnen deze richtlijn", vervolgt Robert.

Hij roept bedrijven op om, ondanks de latere start van de NIS2-regel, nu al in actie te komen. "Het gevaar is nu dat bedrijven het uitstel aangrijpen om af te wachten, maar de conceptwet is er al en daar zal echt niet veel van worden afgeweken. Ieder bedrijf kan nu al voorbereidingen treffen. Door de zorgplicht is er echt actie vereist, zoals het starten van een inventarisatie van de dreigingsanalyse. Op het moment dat je die dreiging goed in kaart hebt, kun je kijken welke beheersmaatregelen je momenteel al hebt, deels hebt of niet hebt, waarna je actie kunt ondernemen."

Volgens Robert is het goed dat de cyberveiligheidswet nu op Europees niveau wordt georganiseerd. "Hiermee worden echt stappen gezet om cybercriminaliteit tegen te gaan. Cybersecurity doe je tenslotte niet primair voor de toezichthouder of leverancier, maar voor je eigen ICT-veiligheid!"

Voor meer informatie:
Robert van Vianen
Partner Advisory
BDO
Tel: +31 (0)30 284 9703
GSM: +31 (0)6 3007 9909
[email protected]
https://www.bdo.nl/nl-nl/diensten/bdo-digital/nis2-compliancy

Eefje de Vries
Partner Tax & Legal & Industry leader Food & Flowers
Tel: +31 (0)10 237 0723
GSM: +31 (0) 6 4810 8264
[email protected]
https://www.bdo.nl/nl-nl/branches/food-flowers