arrow btn arrow right arrow left chevron mouse pulser checkmark date calendar

Aan de slag met aanstaande richtlijn Cybersecurity

11 oktober 2022
Tim van de Zandt

Het is niet de vraag of, maar wanneer de ransomwarepandemie je bedrijf raakt. Wat dat betreft is de vergelijking met de coronapandemie zo gemaakt. Veel grote en kleine FME-leden hebben inmiddels te maken gehad met cybercriminelen. Is jouw onderneming goed voorbereid?

Blog door Tim van de Zandt, Belangenbehartiger Digitalisering, Cybersecurity & Artificial Intelligence

Cybercriminaliteit is uitgegroeid tot de grootste bedreiging voor bedrijven uit de technologische industrie. Producten en diensten van onze sectoren zijn cruciaal voor bijvoorbeeld voedselproductie, gezondheidszorg of energievoorziening. En dat maakt dat FME-leden hun cyberweerbaarheid goed op orde moeten hebben. Daarom raden we aan om nu aan de slag te gaan, en regelgeving niet af te wachten.

Nieuwe regels voor FME-leden

Europese beleidsmakers zijn goed doordrongen van de cyberrisico’s waar ondernemers mee te maken hebben. In de zomer werd een akkoord bereikt over de herziening van de Europese Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn). De herziene richtlijn is, na implementatie in Nederland, ook van toepassing op delen van de technologische industrie. Deze herziening is daarom erg belangrijk voor (middel)grote FME-leden.

"Veel van de maatregelen zijn niet van vandaag op morgen georganiseerd. Het is daarom belangrijk om nu al aan de slag te gaan"

Bedrijven die onder de herziene NIB-richtlijn vallen krijgen te maken met een zorgplicht. Bedrijven moeten maatregelen nemen die de cyberweerbaarheid van hun onderneming verstevigt. Ook moeten ondernemingen cyberincidenten binnen 24 uur melden aan de Nederlandse toezichthouder. 

Maatregelen voor cyberbeveiliging

De herziene richtlijn somt de technische en organisatorische maatregelen op die ondernemers moeten nemen. Deze maatregelen moeten rekening houden met de huidige stand van de techniek en zijn afgestemd op het specifieke cyberrisico. 

  • Risicoanalyse en beleid inzake de beveiliging van informatiesystemen
  • Incidentenbehandeling (preventie en opsporing van en respons op incidenten)
  • Bedrijfscontinuïteit en crisisbeheer; zoals back-ups en noodherstel
  • De beveiliging van de toeleveringsketen, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • Basispraktijken op het gebied van computerhygiëne en opleiding op het gebied van cyberbeveiliging
  • Beleid of procedures voor het gebruik van cryptografie of encryptie
  • Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
  • Het gebruik van multifactor authenticatie of continue authenticatie-oplossingen, beveiligd spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatie

Voor welke FME-leden belangrijk?

De bedrijven die onder de richtlijn vallen zijn eindverantwoordelijk voor de beveiliging van netwerk- en informatiesystemen. Ongeacht of zij het onderhoud van hun netwerk- en informatiesystemen intern uitvoeren of uitbesteden.

De herziene richtlijn is van toepassingen op bedrijven die machines, apparaten, optische instrumenten of werktuigen vervaardigen. De onderneming moet minimaal 50 werknemers in dienst hebben en een jaaromzet van € 10 miljoen rapporteren. Kleinere bedrijven vallen niet onder de herziene richtlijn.

Bedrijven die onder de richtlijn vallen krijgen te maken met toezicht vanuit het Agentschap Telecom. Dit toezicht vindt achteraf plaats, bijvoorbeeld wanneer er sprake is geweest van ernstige cyberincidenten. De toezichthouder kan boetes opleggen aan organisaties die niet voldoen aan de herziene richtlijn. Deze kunnen oplopen tot € 7 miljoen of 1,4% van de jaarlijkse omzet wereldwijd. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld.

Nu aan de slag

We verwachten dat de Europese beleidsmakers de definitieve versie van de herziene richtlijn in november publiceren. Hierna heeft de Nederlandse regering 21 maanden de tijd om de richtlijn te implementeren. Dit betekent dat de richtlijn in het najaar van 2024 van kracht wordt. Veel van de maatregelen zijn niet van vandaag op morgen georganiseerd. Het is daarom belangrijk om nu al aan de slag te gaan.

FME-cybertool Samen Digitaal Veilig

FME helpt lidbedrijven op weg om hun cyberweerbaarheid te vergroten. De FME-cybertool Samen Digitaal Veilig traint medewerkers via korte opleidingsvideo’s en vragen in digitale veiligheid. Op 20 oktober introduceren wij de FME-cybertool voor leden tijdens een webinar.
 

Sluiten