11 nov
Met het vaststellen van de budgetten voor 2025 doen ondernemers en managers er goed aan om extra budget te reserveren voor een goede cybersecurity. Onder andere vanwege NIS2. Eerder schreven we al een blog (https://threadstone.eu/nieuws/blogs/champagne-in-q3-knallen-in-q4) over wat de veranderingen zijn van deze Europese wetgeving, die zoals het er nu naar uitziet medio 2025 in werking treedt in Nederland.
NIS2 gaat gelden voor zo’n 10.000 organisaties in Nederland. En daaromheen krijgt een grotere groep leveranciers en business partners (de schatting ligt op circa 50 tot 60 duizend bedrijven) ermee te maken. Ook voor hen is het goed om zich nu al voor te bereiden op de nieuwe regels.
Het is namelijk de algemene verwachting dat de NIS2-plichtige organisaties striktere voorwaarden gaan stellen aan de partijen waarmee zij zaken doen. Mede door eerdere ervaringen met bijvoorbeeld de AVG denken veel MKB-bedrijven die zaken doen met NIS2-plichtige organisaties of de kring daaromheen nu nog: eerst maar eens zien . De vraag is of die houding verstandig is – wij denken van niet! Want van verschillende kanten (niet alleen wetgeving) wordt de druk opgevoerd om een basisniveau van cyberweerbaarheid in te stellen en te onderhouden.
Wat we nu al zien gebeuren, en dit zal door NIS2 alleen maar vaker gaan gebeuren, is dat IT-bedrijven en Managed Service Providers van hun klanten eisen dat zij bepaalde basismaatregelen op het gebied van cybersecurity treffen. Doen zij dat niet, dan moet de klant een verklaring ondertekenen dat de IT-leverancier niet verantwoordelijk is voor schade in geval van een cyberincident. Ook accountants en cyberverzekeraars kijken mee en zullen op een vergelijkbare manier aan de bel trekken en eisen (gaan) stellen.
Ons advies, ook voor MKB-bedrijven die hun concurrentievoordeel willen behouden en hun risico’s goed willen beheersen:
- neem tijdig contact op met een adviseur met kennis van zaken rondom NIS2. ThreadStone is aangesloten bij Samen Digitaal Veilig; wij weten precies welke maatregelen er nodig zijn. Vaak kosten inventarisatie en implementatie meer tijd dan gedacht. Wie wacht totdat NIS2 ingaat, is te laat.
- reserveer voor 2025 extra budget. Om adequaat te anticiperen op NIS2 en de toenemende druk vanuit andere partijen kan het zomaar nodig zijn om het bestaande IT-budget met 20% te verhogen. Als er nog weinig is gedaan op het gebied van informatiebeveiliging, kan er zomaar een verdubbeling van het totale IT-budget nodig zijn.
Overigens is het ook zonder de druk van NIS2 goed om hier aandacht aan te besteden. Want uiteindelijk wil iedereen die zegt ‘het gaat toch altijd goed?!’ dat kunnen blijven zeggen. Ook in 2025.