NIS2. Twee letters, een cijfer, en een hoeveelheid verwarring die je normaal alleen tegenkomt bij IKEA-montagehandleidingen. Laat me proberen het op te helderen.
Wat is het?
NIS2 is een Europese richtlijn die zegt: organisaties die essentiële of belangrijke diensten leveren, moeten hun cybersecurity op orde hebben. En als ze dat niet doen, kunnen ze een boete krijgen. Een forse boete. Het soort boete waarvoor je een extra bestuursvergadering belegt.
De eerste versie (NIS1) bestond al, maar die was een beetje alsof je kinderen vraagt om hun kamer op te ruimen zonder consequenties. NIS2 is dezelfde vraag, maar nu met huisarrest als stok achter de deur.
Wie raakt het?
Hier wordt het interessant. NIS2 raakt niet alleen de energiecentrales en ziekenhuizen. Het raakt ook:
- IT-dienstverleners en MSP's
- Productiebedrijven
- Voedselverwerkers
- Post- en koeriersdiensten
- Afvalbeheerders
- En nog een hele lijst
De vuistregel: als je meer dan 50 medewerkers hebt of meer dan 10 miljoen euro omzet draait, en je levert een dienst die als "essentieel" of "belangrijk" wordt aangemerkt, dan valt je waarschijnlijk onder NIS2. En "waarschijnlijk" is in dit geval een woord dat je serieus moet nemen.
Wat moet je doen?
NIS2 vereist dat je een aantal dingen regelt. In mensentaal:
- Risicobeheer — Weet welke risico's je loopt en doe er iets aan
- Incidentmelding — Als er iets misgaat, moet je dat binnen 24 uur melden. Niet volgende week, niet na de vakantie. 24 uur
- Continuïteit — Zorg dat je door kunt draaien als er iets misgaat. Backups, herstelplannen, dat soort dingen
- Supply chain — Je leveranciers moeten ook hun beveiliging op orde hebben. Jij bent verantwoordelijk voor wie je binnenlaat
- Bestuurlijke verantwoordelijkheid — En dit is de grote: bestuurders zijn persoonlijk verantwoordelijk. Niet de IT-afdeling. Niet de CISO. De bestuurder
Waarom je directeur dit moet weten
Dat laatste punt is cruciaal. NIS2 maakt expliciet dat cybersecurity een bestuurlijke verantwoordelijkheid is. Een directeur die zegt "daar gaat IT over" heeft het bij het verkeerde eind. Juridisch gezien.
Bestuurders moeten cybersecurity-trainingen volgen. Ze moeten risico's goedkeuren. Ze moeten besluiten nemen over beveiligingsmaatregelen. En als ze dat niet doen, en er gaat iets mis, dan kan de boete persoonlijk op hun bordje belanden.
Dat is niet bedoeld om angst te zaaien. Het is bedoeld om duidelijk te maken dat cybersecurity niet langer een technisch onderwerp is dat je kunt delegeren en vergeten. Het is een bestuursthema. Net als financieel beheer, compliance en risicomanagement.
Waar begin je?
Begin met vaststellen of je onder NIS2 valt. Begin met een basischeck van je beveiliging. En begin met het gesprek — met je IT-afdeling, met je bestuur, met je leveranciers.
Want NIS2 komt eraan. En "dat wist ik niet" is geen verweer dat standhoudt bij de toezichthouder.