In mijn vorige blog NIS2 (Deel 1) – De impact op het MKB stonden we al even stil bij wat de NIS2 is en wat het betekent om onder deze nieuwe richtlijn te vallen. We eindigden het artikel met de vraag of de NIS2 een bedreiging of een kans zou zijn voor MKB-ondernemers. Hier willen we in deze blog verder op ingaan.
Hype of serieus aandacht voor security?
Als u de gemiddelde MKB-ondernemer vraagt wat hem bezighoudt, dan is dit meestal niet om aan wet- en regelgeving te voldoen. Natuurlijk, het is belangrijk, maar vaak wordt het ervaren als een last. In 2018 zagen we dit bij de Algemene Verordening Gegevensbescherming (AVG). Bedrijven gaven heel kortstondig aandacht aan de bescherming van persoonsgegevens, maar daarna vielen ze al snel terug in de waan van de dag. Gaat dit bij NIS2 ook gebeuren? De ondernemer zal al snel berekenen wat de NIS2 hem gaat “opleveren”. Afhankelijk van dat resultaat, zal er serieus werk van worden gemaakt. Natuurlijk zal de NIS2 “gedoe” opleveren. Maar als ondernemers zich ervan bewust zijn hoe afhankelijk zijzelf (maar ook hun klanten) zijn van IT-systemen, is dit misschien ook wel het moment om er echt werk van te maken en te zorgen dat zij digitaal weerbaar worden.
Concurrentievoordeel
Klanten stellen steeds vaker hoge eisen aan informatiebeveiliging. In de praktijk zien we dan ook dat ondernemers sneller (vanuit commercieel belang) bereid zijn, om hier extra aandacht aan te besteden. Met de komst van de NIS2 zal het vaker voorkomen dat deze hoge eisen worden opgelegd. Kunt u hier niet aan voldoen? In dat geval loopt uw onderneming het risico om opdrachten mis te lopen. Door niet af te wachten maar snel te schakelen, kunt u hier voordeel uithalen ten opzichte van uw concurrenten.
Risico gebaseerde aanpak
De NIS2 gaat uit van een risico gebaseerde aanpak. In dat geval gaat u niet zomaar allerlei maatregelen toepassen, maar u kijkt naar de relevante risico’s voor uw organisatie of dienst die u levert. Dit stelt uw onderneming in staat om efficiënt te werk te gaan, namelijk door maatregelen te nemen om de grootste risico’s te beperken. Dit klinkt misschien theoretisch, maar het levert een organisatie vaak veel nieuwe inzichten op en stelt organisaties in staat om te focussen op zaken die er echt toe doen.
Opstapje richting ISO27001
Tegenwoordig beseffen veel ondernemers dat een ISO27001-certificering niet alleen voor ICT-bedrijven relevant is. Zodra organisaties te maken hebben met kritische processen die afhankelijk zijn van IT-systemen, of veel (vertrouwelijke) data verwerken, willen steeds meer organisaties informatiebeveiliging als gestructureerd proces in hun organisatie verankeren. Enerzijds om aantoonbaar in control te zijn richting klanten, anderzijds om ook daadwerkelijk te borgen dat er voor informatiebeveiliging terugkerend aandacht is. We zien dan ook dat veel organisaties die eigenlijk al van plan waren om een ISO27001-traject te doorlopen, door de komst van de NIS2 over de streep worden getrokken en hier echt werk van maken. Veel zaken die namelijk in de NIS2 gevraagd worden, maken ook al onderdeel uit van de ISO27001. Wanneer een klant u vraagt of u voldoet aan de NIS2 en u kunt aantonen door middel van een ISO27001-certificaat dat u al serieus aandacht aan informatiebeveiliging besteedt, neemt u al veel wind uit de zeilen.
Security, verantwoordelijkheid van de ICT-leverancier?
Toch zijn er ook nog ondernemers die van mening zijn dat security (of informatiebeveiliging) een verantwoordelijkheid is van de ICT-leverancier. Het klopt ook wel dat er veel maatregelen door de ICT-leverancier genomen kunnen worden. Maar dit is vaak maar een stukje van de puzzel. Met de NIS2 wordt informatiebeveiliging van een IT-aangelegenheid een onderwerp voor de directietafel. Het gaat verder dan het nemen van IT-securitymaatregelen. Uiteindelijk worden met de NIS2 de directie of bestuursleden zelfs hoofdelijk aansprakelijk gesteld.
In 2024 geen probleem maar niet meer dan logisch
Enerzijds kunt u de NIS2 als een bedreiging zien omdat het veel gedoe oplevert. Daarnaast, als u straks niet kunt aantonen dat u aan de nieuwe richtlijn voldoet, loopt u mogelijk opdrachten mis. Anderzijds kan de NIS2 ook kansen voor de onderneming opleveren. Ten opzichte van de concurrentie kunt u zich onderscheiden door juist wel voortvarend aan de slag te gaan met informatiebeveiliging. Enerzijds om te kunnen voldoen aan de wet- en regelgeving. Anderzijds met als doel digitaal weerbaarder te worden tegen cyberaanvallen en vertrouwen uit te stralen dat uw organisatie klaar is voor de toekomst. Informatiebeveiliging is in 2024 voor u geen probleem, maar de meest logische zaak van de wereld om mee bezig te zijn.
Informatieaanvraag NIS2
Wilt u ontdekken wat het voor uw organisatie betekent om aan de slag te gaan met de NIS2? Vul dan het onderstaande contactformulier in en wij nemen zo snel mogelijk contact met u op.
