Is jouw bedrijf klaar voor de strenge cybersecurity-eisen? De NIS2 komt eraan
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag: een strengere Europese regelgeving, de NIS2.
Published on February 6, 2025
Onze DATA+ expert Elcke Vels duikt in AI, cyber security en innovatie. In haar ‘What if…’ column verkent ze gedurfde scenario’s buiten de status quo.
De Europese NIS2-richtlijn, een wet die strengere cybersecurity-eisen oplegt aan essentiële organisaties, wordt volgend jaar van kracht. Maar nu al handelen is essentieel, zegt cybersecurity-expert Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity. We spraken met hem over de nieuwe richtlijn en over de gevolgen ervan voor bedrijven en organisaties.
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.
Wat houdt de nieuwe cyberwet, NIS2, precies in?
“Vanaf 2025 stelt de Network and Information Security Directive, of NIS2-richtlijn, eisen aan de digitale veiligheid van maatschappelijk kritieke en belangrijke organisaties. Denk aan energie- en waterbedrijven, overheidsinstanties en de levensmiddelensector. Het gaat bijvoorbeeld om strengere beveiligingseisen. Ze moeten beleid opstellen, maatregelen nemen en zorgen dat deze goed werken. Dit betekent bijvoorbeeld dat medewerkers regelmatig getraind worden in cyberbewustzijn.
Om de aanpak tegen cyberdreigingen beter te kunnen coördineren, wordt het verplicht om cyberincidenten snel te melden. Als er een aanval plaatsvindt, moet dit binnen een bepaalde tijd worden doorgegeven aan het Nationaal Cyber Security Centrum. Ook moeten organisaties erop toezien dat hun leveranciers veilig werken. Als een NIS2-organisatie zijn IT uitbesteedt, moet de externe partij ook voldoen aan de NIS2-vereisten. Een andere belangrijke verandering is dat, naast dat de organisatie een boete kan krijgen, bestuurders ook persoonlijk aansprakelijk kunnen worden gesteld als ze cyberveiligheid verwaarlozen. Ze kunnen een boete krijgen in privé.”
Heb je er vertrouwen in dat deze richtlijn de Nederlandse cyberveiligheid verbetert?
“NIS2 is geen wondermiddel, maar wel een stap in de goede richting. Het zorgt ervoor dat kritieke instanties beter beschermd worden tegen cyberaanvallen. Sommige sectoren, zoals energiebedrijven, hadden al strenge wetgeving. Maar voor koeriersdiensten, postbedrijven, supermarkten, groothandel in groente en fruit, en groentekwekers is dit nieuw. Wel betwijfel ik of de markt het op tijd voor elkaar krijgt. Er zijn te weinig organisaties die nu al echt grip hebben op hun cyberveiligheid. Als je kijkt naar bijvoorbeeld de recente hack bij de politie waarbij de namen van 65.000 agenten zijn gelekt, is dat verbazingwekkend. Als een organisatie met ongelimiteerd budget al zo’n blunder maakt, kan het ook gebeuren bij mkb-bedrijven. Planmatig beveiligen, beleid maken en implementeren en mensen goed trainen en regelmatig controleren of de beveiliging op orde is, is essentieel.”
Er bestonden al belangrijke regelgevingen omtrent cyberveiligheid. Wat voegt een nieuwe richtlijn nou extra toe?
“Ja, er waren al wetten zoals de AVG, die persoonsgegevens beschermt, of de NIS: de voorloper van de nieuwe richtlijn. Maar NIS2 gaat verder en geldt voor veel meer organisaties. Digitale veiligheid is niet langer een optie maar een verplichting. Wat NIS2 echt uniek maakt, vind ik, is de invoering van bestuursaansprakelijkheid. Het is opvallend dat bestuurders niet alleen een boete kunnen krijgen, maar ook een beroepsverbod kunnen worden opgelegd. Dit kennen we al bij fraudepraktijken en de Wet Oneerlijke Handelspraktijken, maar voor cyberbeveiliging is dit nieuw. Het feit dat bestuurders nu persoonlijk verantwoordelijk worden gesteld, benadrukt de ernst van hacks. Cyberaanvallen kunnen verwoestende gevolgen hebben, en met NIS2 zetten we een belangrijke stap om dit risico te verkleinen.”
Onderhandelen met een hacker: hoe doe je dat eigenlijk?
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag: de aanval op de TU/e, en hoe cybersecurity-experts vaak handelen tijdens zo’n aanval.