de energiesector, vervoer, bankwezen, drinkwater, digitale infrastructuur, beheer van ICT-diensten, ruimtevaart, infrastructuur financiële markt, gezondheidszorg, afvalwater en overheid. Ook mkb-bedrijven die essentieel zijn en meer dan vijftig werknemers of meer dan tien miljoen euro omzet hebben, moeten vanaf de inwerkingtreding van de nieuwe wet aan alle eisen voldoen. Daarnaast kunnen ook kleinere mkb-bedrijven met de wet te maken krijgen, wanneer zij bijvoorbeeld grotere klanten bedienen die vanuit de NIS2-richtlijn verplicht zijn hun ketenbeveiliging te controleren. Organisaties zijn zelf verantwoordelijk om te bepalen of zij onder de wet vallen. NIET AFWACHTEN “De Rijksoverheid dringt aan op actie en adviseert organisaties om niet af te wachten totdat de Cyberbeveiligingswet in werking treedt,” zegt een woordvoerder van het ministerie van Justitie en Veiligheid. “Om te bepalen of een organisatie onder de wet valt, is een zelfevaluatietool ontwikkeld. Daarmee kunnen organisaties een eerste beoordeling uitvoeren waarmee ze kunnen zien of ze onder de nieuwe Cyberbeveiligingswet vallen en hoe ze worden gekwalificeerd: essentieel of belangrijk.” De zelfevaluatietool is te vinden op: www.ncsc.nl of www.nctv.nl. Zoals aangegeven krijgen organisaties die onder de Cyberbeveiligingswet vallen onder andere te maken met een registratieplicht, een zorgplicht en een meldplicht. In de praktijk betekent dit dat organisaties verplicht zijn gegevens te registreren in het zogenoemde entiteitenregister. Daarnaast moeten organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Maatregelen zijn onder andere het ontwikkelen van beleid voor het uitvoeren van een risicoanalyse en beveiliging van de toeleveringsketen. Maar ook beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets. Ten aanzien van de meldplicht van significante incidenten, dienen essentiële entiteiten en belangrijke entiteiten dit te melden aan het Computer Security Incident Response Team en de toezichthouder. Een incident wordt als significant gezien wanneer het bijvoorbeeld leidt tot een ernstige verstoring van de diensten of financiële verliezen voor de organisatie veroorzaakt. Of dat het andere entiteiten raakt, waardoor het aanzienlijke materiële of immateriële schade veroorzaakt. SNEL EN EFFICIËNT REAGEREN Bedrijven en organisaties staan er bij een cybercalamiteit niet alleen voor. Zij kunnen een beroep doen op het Computer Security Incident Response Team, dat als hoofddoel heeft om snel en efficiënt te reageren op cyberincidenten, deze adequaat af te handelen en de schade te minimaliseren. Hoewel de Cyberbeveiligingswet nog in voorbereiding is, is het van belang om nu al stappen te zetten. “Wij adviseren om in kaart te brengen of uw organisatie onder de nieuwe Cyberbeveiligingswet valt,” geeft de woordvoerder aan. “Daarnaast kunnen bedrijven en organisaties hun cybersecuritymaatregelen beoordelen en eventueel verbeterpunten identificeren. Verder moet een organisatie die onder de Cyberbeveiligingswet valt zich registreren in het entiteitenregister. En tenslotte kunnen bedrijven en organisaties al aan de slag met tien zorgmaatregelen, die door de wet worden voorgeschreven. Kortom, start op tijd met een grondige risicoanalyse, om de maatregelen en vervolgstappen goed in kaart te kunnen brengen. Meer informatie is te vinden op de website van het NCSC.” NEEM NU AL ACTIE Je kunt de NIS2 Zelfevaluatietool van het Nationaal Cyber Security Centrum (NCSC) gebruiken om te bepalen of de wet direct op jouw bedrijf van toepassing is. Voor mkb-specifieke hulp bieden MKB-Nederland en het initiatief Samen Digitaal Veilig praktische handvatten. Ook NOAB loopt vooruit op de Cyberbeveiligingswet en biedt een e-learningcursus Cybersecurity op kantoor aan (kijk op NOAB Academy). Valt je bedrijf of organisatie niet onder de Cyberbeveiligingswet, dan is het toch raadzaam om te werken aan digitale weerbaarheid, zo adviseert het ministerie van Justitie en Veiligheid. NOAB.NL 19 ICT & INNOVATIE
20 Online Touch Home