Javascript is required

Cybersecurity in 2023: Belangrijke wet- en regelgeving voor ondernemers

Kennisartikel
Cyberveiligheid
Cybersecurity in 2023: Belangrijke wet- en regelgeving voor ondernemers

02/10/2023 • 8 minuten lezen

ABN AMRO Redactie

De cyberdreiging voor ondernemers neemt toe. Door deze dreiging neemt de noodzaak om de bedrijfscontinuïteit, persoonlijke gegevens en de nationale veiligheid van landen te beschermen. Om hierop toe te zien geldt er steeds strengere cybersecurity wetgeving voor bedrijven.

Om hierop toe te zien geldt er steeds strengere cybersecurity wetgeving voor bedrijven. Aan welke cyberwetgeving moet u in 2023 minimaal voldoen? En welke richtlijnen en regels liggen er in Europa voor de toekomst op de plank?

De wet- en regelgeving voor cybersecurity geldt in sommige gevallen voor alle bedrijven. In andere gevallen gaat het om bepaalde sectoren of bedrijven van een bepaalde omvang. We zetten de drie belangrijkste wetten van dit moment op een rij.

Welke wetten en regels gelden er in 2023 rondom cybersecurity?

Anno 2023 bent u als ondernemer natuurlijk op de hoogte van de dreiging van cybercriminaliteit. Het is belangrijk om uw organisatie en de gegevens die u verwerkt, daar tegen te beschermen. Concreet gelden er drie wettelijke verplichtingen:

  • AVG/GDPR: Privacywet, die geldt voor alle bedrijven die persoonsgegevens verwerken
  • NIS2: Cybersecuritywet, om essentiële en belangrijke bedrijven te beschermen tegen aanvallen
  • DORA: Richtlijn voor risico’s rondom informatie- en communicatiemanagement.

Wat is AVG/GDPR en voor wie geldt dit?

De Algemene Verordening Gegevensbescherming (AVG), ook bekend onder de Engelse naam General Data Protection Regulation (GDPR), is belangrijke wetgeving op het gebied van cybersecurity en gegevensbescherming in de Europese Unie. De AVG is sinds mei 2018 van kracht en heeft tot doel de privacyrechten van individuen te versterken en de manier waarop organisaties persoonsgegevens verwerken te reguleren.

De AVG/GDPR-wetgeving geldt voor alle Europese bedrijven en organisaties die persoonsgegevens verwerken. Dat betekent ook dat zzp’ers en het MKB zich aan deze wet moeten houden. Daarnaast moeten internationale bedrijven die zakendoen met bedrijven in de EU zich aan de regels houden.

U verwerkt persoonsgegevens als u bijvoorbeeld afspraken maakt met klanten of leveranciers, als u een offerte verstuurt of als u een nieuwsbrief verstuurt. Verzamelt u online cookies? Ook dat zijn persoonsgegevens die onder de wetgeving vallen. Zelfs als het gaat om anonieme gegevens moet u die als privacygevoelige informatie behandelen.

De AVG legt aanzienlijke sancties en boetes op bij inbreuken op de wet. Organisaties kunnen boetes krijgen tot wel 4 procent van hun wereldwijde jaaromzet of een vast bedrag van meerdere miljoenen euro's, afhankelijk welke van de twee hoger is. Dit maakt het belangrijk voor ondernemers om compliant te zijn en de nodige beveiligingsmaatregelen te treffen om gegevensbescherming te waarborgen.

Hoe voldoe ik aan AVG/GDPR?

De Autoriteit Persoonsgegevens legt in vijf stappen uit hoe u voldoet aan de AVG/GDPR.

Neem bijvoorbeeld de volgende maatregelen:

Maskeer persoonsgegevens

Anonimiseer persoonsgegevens of sla die onder een pseudoniem op. Gebruik software die voorkomt dat persoonsgegevens op straat komen te liggen bij een eventueel lek.

Geef medewerkers slechts toegang tot gegevens als de functie dat vereist

Stel toegangsregels in op basis van noodzakelijkheid. Voorkom dat medewerkers die dat niet nodig hebben, toegang kunnen krijgen tot persoonsgegevens.

Maak een plan om persoonsgegevens bij incidenten te herstellen

Maak regelmatig (automatische) back-ups om bij een incident gegevens te herstellen en terug te keren naar de voorgaande situatie.

Garandeer de vertrouwelijkheid, beschikbaarheid en integriteit van persoonsgegevens

Voldoe aan de ISO 27001-richtlijn voor informatiebeveiliging of implementeer de belangrijkste aanbevelingen daarvan voor vertrouwelijkheid, beschikbaarheid en integriteit.

Test de procedure en evalueer maatregelen die u neemt

Test regelmatig of persoonsgegevens inderdaad goed zijn afgeschermd. Evalueer de genomen maatregelen en oefen wat te doen in het geval van een incident.

Meld datalekken

De AVG introduceert de verplichting voor organisaties om datalekken te melden aan de toezichthoudende autoriteiten en in sommige gevallen aan de betrokken individuen. Dit draagt bij aan een snellere reactie op en bewustwording van beveiligingsincidenten, wat de bescherming van persoonsgegevens ten goede komt.

Wat is NIS2 en voor wie geldt dit?

De afgelopen jaren zien we dat diverse ontwikkelingen in toenemende mate de veiligheid van onze maatschappij en economie onder druk zetten. Denk daarbij aan COVID-19, de oorlog in Oekraïne en cyberdreigingen. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) Directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.

Het is de herziene versie van de oorspronkelijke NIS-richtlijn die in 2016 werd ingevoerd. De oorspronkelijke NIS(1) gold voor essentiële bedrijven, bijvoorbeeld voor water- en telecombedrijven. De NIS2 verhoogt de eisen aan cybersecurity en gaat gelden voor meer bedrijven.

De NIS2 geldt voor dezelfde essentiële bedrijven die al moesten voldoen aan de NIS1. Daar komen ‘belangrijke bedrijven’ bij. Het gaat om zo’n 160.000 bedrijven en organisaties in Europa.

Essentiële sectoren zijn:

  • Energie
  • Vervoer
  • Banken
  • Infrastructuur van de financiële markten
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur

Belangrijke sectoren zijn:

  • Post- en koeriersdiensten
  • Afvalmanagement
  • Chemische productie en distributie
  • Maakindustrie
  • Digital aanbieders

Alle bedrijven die essentiële of belangrijke diensten aan consumenten leveren moeten voldoen aan de NIS2-wetgeving. Over het algemeen betreft dit grotere organisaties, maar ook micro- en kleine bedrijven. Het gaat dan om bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor domeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten. Deze bedrijven vallen automatisch onder de NIS2-richtlijn. Overheidsinstanties uit de bovenstaande sectoren vallen ook automatisch onder NIS2-richtlijn.

Vanaf het eerste kwartaal van 2023 geldt de NIS2 voor bedrijven en organisaties in de EU met meer dan 250 medewerkers en/of 50 miljoen euro omzet per jaar. Vanaf het derde kwartaal van 2024 gaat de wetgeving ook specifiek in Nederland gelden. Vanaf dat moment moeten ook andere bedrijven en organisaties in essentiële en belangrijke sectoren aan de wetgeving voldoen.

Als uw organisatie onder de NIS2-richtlijn valt, is het van belang tijdig te beginnen met de voorbereidingen. Ook is het verstandig om budget en capaciteit te reserveren dat nodig is om aan de richtlijnen te voldoen

Hoe voldoe ik aan NIS2?

De NIS2-richtlijn stelt hogere eisen aan de beveiliging van netwerk- en informatiesystemen. Het bevat specifieke maatregelen en controles die organisaties moeten implementeren om cyberdreigingen te voorkomen, te detecteren en erop te reageren. Hierdoor worden organisaties gestimuleerd om hun cybersecuritypraktijken te verbeteren en de bescherming van kritieke infrastructuur en essentiële diensten te versterken.

De NIS2 kent drie belangrijke verplichtingen:

1. Zorgplicht

De richtlijn bevat een zorgplicht die organisaties verplicht om zelf een risicobeoordeling uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

2. Meldplicht

De richtlijn schrijft voor dat bedrijven incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand verleent. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

3. Toezicht

Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Het is verstandig om u alvast voor te bereiden op de invoering van NIS2, niet alleen om compliant te zijn aan deze wetgeving, maar ook voor de veiligheid van uw organisatie, klanten, leveranciers en personeel.

De volgende uitgangspunten kunt u gebruiken om voorbereiding te treffen:

Informatiebeveiliging

U moet een informatiebeveiligingsbeleid opstellen en uitvoeren. Beschrijf het beleid voor informatiebeveiliging en hoe u de doelen op dat gebied bereikt.

Risicoanalyse

Voer risicoanalyses en -controles uit. Dit bewijst dat u zicht heeft op de risico’s en een plan heeft om waar nodig maatregelen te treffen.

Incidenten

Bewijs dat er een plan ligt om adequaat te reageren op eventuele cybersecurity-incidenten.

Crisisbeheer

Bewijs dat er een plan ligt om te herstellen van een cyberaanval.

Ketenbeheer

Stimuleer ook de rest van de keten om te voldoen aan NIS2-wetgeving voor informatiebeveiliging.

Versleuteling

Versleutel data in netwerken en data in opslag.

Kwetsbaarheden

Rapporteer eventuele kwetsbaarheden om sterker samen te werken binnen de EU.

Wat is DORA en voor wie geldt dit?

De Digital Operational Resilience Act (DORA) is een Europese richtlijn voor het beheer van informatie- en communicatierisico’s. De nieuwe regelgeving moet het financiële systeem van de EU meer veerkracht bieden ter bescherming tegen cyberrisico’s. De Europese richtlijn trekt de risico-eisen voor alle lidstaten gelijk. Het is één aanpak waar toezichthouders voor de financiële sector samen aan werken.

DORA moet de beveiliging verbeteren van financiële instellingen, zoals banken, verzekeraars, aanbieders van cryptovalutadiensten en beleggingsbedrijven. Daarnaast geldt de richtlijn voor kritieke derde partijen, zoals cloud platforms, managed service providers, cybersecuritybedrijven en aanbieders van data-analysediensten.

Hoe voldoe ik aan DORA?

Financiële instellingen en kritieke derde partijen moeten zich beschermen tegen cyberdreiging. De maatregelen draaien om vijf kernpunten:

1. Risicobeheer

Neem maatregelen om cyberrisico’s te beheren en beheersen. Belangrijk uitgangspunt daarbij is de continuïteit van het bedrijf. U moet zich specifiek indekken tegen cyberrisico’s, impact op dienstverlening en concentratierisico’s (te veel afhankelijk van een grote klant of leverancier).

2. Risicobeheer voor derden

Daarnaast controleert u of derden waarmee u samenwerkt voldoende maatregelen nemen. Hiervoor bepaalt u een strategie en bijbehorend beleid. Voer due diligence uit om risico’s bij (kritieke) leveranciers te beoordelen en breng kritieke leveranciers en de bedrijfsfuncties die zij ondersteunen in kaart.

3. Testen van weerbaarheid

Test periodiek de weerbaarheid van de maatregelen voor ICT-risicobeheer. Werk eventuele zwakke punten en tekortkomingen in de beveiliging zo snel mogelijk weg.

4. Rapportage van incidenten

Rapporteer gevallen van cyberdreiging en andere gevallen van ICT-incidenten aan de bevoegde autoriteiten.

5. Informatie-uitwisseling

Wissel informatie over cybersecurity en bredere ICT-beveiliging uit met zowel toezichthouders als andere financiële instellingen.

Cyber en wetgeving van de toekomst: hier werkt Europa aan

De Europese Raad heeft een strategie voor cyberbeveiliging ontwikkeld. De strategie werd in december 2020 gepresenteerd en bevat plannen voor de komende jaren. De komende jaren zijn dit de belangrijkste aandachtspunten:

1. Sterke versleuteling van gegevens

Betere versleuteling moet de grondrechten en digitale beveiliging verbeteren. Rechtshandhaving en gerechtelijke instanties kunnen dan zowel online als offline werken.

2. EU-wijde normen voor internetbeveiliging

Een norm voor internetbeveiliging in heel de EU moet het online concurrentievermogen binnen de rest van de wereld verbeteren.

3. Betere beveiliging van 5G-netwerken

Sterkere beveiliging moet het 5G-netwerk beter beschermen en de weg vrijmaken voor toekomstige generaties van netwerken.

4. Netwerk van operationele beveiligingscentra

Een EU-breed netwerk maakt het mogelijk om aanvallen op netwerken te monitoren en daar actief op te reageren.

5. Gezamenlijke cybereenheid voor heel de EU

De cybereenheid moet zich voor heel de EU gaan richten op crisisbeheersing als het gaat om cyberbeveiliging.

6. Oprichting van cyberinlichtingenwerkgroep

De werkgroep met de specifieke capaciteit van het inlichtingen- en situatiecentrum van de EU (INTCEN) versterken.

7. Sterkere cyberdiplomatie tussen lidstaten

Sterkere diplomatie moet de beveiliging verbeteren tegen aanvallen op vitale infrastructuur, essentiële diensten, democratische instellingen en processen.

8. Nauwere samenwerking met partnerlanden

Door nauwer samen te werken met partnerlanden en internationale organisaties verbetert het inzicht in cyberdreigingen.

9. Externe agenda voor meer cybercapaciteit

Door ook buiten Europa samen te werken, verbetert de wereldwijde cyberweerbaarheid, net als de Europese weerbaarheid tegen dreigingen van buiten de EU.

Het is belangrijk om te onthouden dat wet- en regelgeving met betrekking tot cybersecurity voortdurend evolueert. Blijf op de hoogte van de laatste ontwikkelingen en zorg ervoor dat u uw beleid en maatregelen regelmatig bijwerkt om te voldoen aan de geldende wetgeving.

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

Lees ook

Alles wat ondernemers moeten weten over de AVG-wet

Kennisartikel
Cyberveiligheid

13/06/2023 • ABN AMRO Redactie

Alle ondernemingen die persoonsgegevens verwerken, moeten zich houden aan de privacywet Algemene Verordening Gegevensbescherming (AVG). De wet verbetert de privacy en gegevensbescherming voor natuurlijke personen zoals klanten en medewerkers. Ontdek in dit artikel hoe dit van invloed is op uw onderneming, wat u moet weten en hoe u voldoet aan de regels en richtlijnen die er gelden.

Aantal bedrijven getroffen door cyberaanval gestegen tot 45%

Kennisartikel
Cyberaanval

27/06/2023 • ABN AMRO Redactie

Het percentage bedrijven dat – los van de oorlog die momenteel speelt – te maken kreeg met een cyberaanval is in 2022 gestegen. Waar het percentage getroffen bedrijven in 2021 29 procent was, steeg die in 2022 naar 45 procent. Dit blijkt uit onderzoek van ABN AMRO in samenwerking met onderzoeksbureau MWM2. Zij onderzochten 233 zakelijke klanten die eind- of medeverantwoordelijk zijn voor de cybersecurity van hun bedrijf.

Leer uw medewerkers cyberrisico's herkennen met continuous learning

Kennisartikel
Cyberveiligheid

13/06/2023 • ABN AMRO Redactie

Hoe kunt u internetfraude voorkomen, wat is continuous learning en hoe kan continuous learning fungeren als een (cyber)security-awareness-training? In dit artikel vertellen we meer over de mogelijkheden om via continuous learning uw personeel bij te scholen op het gebied van cybercriminaliteit en cyberrisico’s.

Meer digitale veiligheid voor CTOUCH en zijn klanten dankzij Cyber Veilig & Zeker

Kennisartikel
Cyberveiligheid

16/05/2023 • ABN AMRO Redactie

Onlangs ging ABN AMRO bij een van hun klanten langs om vragen te stellen over hun ervaringen met cybersecurity, de rol van ABN AMRO in dat cybersecurity-proces en hoe zij cybersecurity-oplossing Cyber Veilig & Zeker ervaren. Dit bedrijf – genaamd CTOUCH – specialiseert zich in het maken van grote touch-displays, bijvoorbeeld het soort scherm dat men tegenkomt in schoolklassen of presentatieruimten.

Meld je gratis aan voor onze Insights nieuwsbrief

Blijf op de hoogte van onze inzichten, tips en trends

Aanmelden