Risico op niet naleven cybersecurity richtlijn NIS2

Een aantal Nederlandse ondernemingen dreigt klanten te verliezen omdat ze niet voldoen aan de Europese vereisten voor cybersecurity. Dit stelt organisatie-adviseur Boer & Croon, waarover de website voor accountancy, accountantweek.nl vandaag schijft. In oktober treedt de Europese richtlijn voor cybersecurity in werking: Network and Information Security 2 (NIS2). Deze richtlijn is gericht op het beheersen van risico’s die netwerken en informatiesystemen bedreigen en mogelijk kunnen leiden tot ontwrichting van de economie en samenleving.

• NIS2-compliance cruciaal voor behoud marktaandeel.
• Nederlandse bedrijven moeten cyberrisico’s serieus nemen.
• Samenwerking met managementadviesbureau sterk aanbevolen voor succesvolle implementatie.

Net als bij CSRD, het Europese stelsel voor duurzaamheidsrapportage, geldt bij NIS2 ketenverantwoordelijkheid. Dit betekent dat als een onderneming onder de NIS2-richtlijn valt, dit ook geldt voor haar toeleveranciers. Als deze toeleveranciers slachtoffer worden van een cyberaanval en hun producten of diensten niet tijdig kunnen leveren, kan ook de bedrijfscontinuïteit van hun klanten hoger in de keten in gevaar komen.

Duitsland en België, twee van de grootste buitenlandse afzetmarkten voor Nederlandse ondernemingen, hebben daarentegen wel serieus werk gemaakt van de NIS2-verplichtingen en verwachten dit ook van hun ketenpartners in Nederland en elders.

Nederlandse Ondernemingen en NIS2

Volgens het adviesbureau schieten veel Nederlandse bedrijven die internationaal opereren nog tekort in de implementatie. Duitsland en België, twee van de grootste buitenlandse afzetmarkten voor Nederlandse ondernemingen, hebben daarentegen wel serieus werk gemaakt van de NIS2-verplichtingen en verwachten dit ook van hun ketenpartners in Nederland en elders.Volgens het bureau is het essentieel dat Nederlandse bedrijven actie ondernemen om aan de NIS2-vereisten te voldoenom zowel de cyberrisico’s te beperken als hun concurrentiepositie duurzaam te versterken. [Artikel gaat verder na de volgende alinea]

Overheid en NIS2-informatie

Opmerkelijk is dat de overheid niet automatisch informeert of een bedrijf onder de NIS2-richtlijnen valt. Risk managers moeten dit zelf beoordelen. Gezien de uitgebreide reikwijdte van NIS2 is de kans groot dat bedrijven, ketenpartners en klanten onder de richtlijn vallen. Organisaties van aanzienlijke omvang vallen onder de scope, wat tot gevolg heeft dat ook hun klanten en partners onder de richtlijn vallen.

Accountants en NIS2

Veel accountants bieden ICT-diensten aan klanten, waardoor ze ook onder de scope van NIS2 vallen. Het is verstandig voor accountants om zich aan de NIS2-richtlijnen te houden om de gegevens van hun klanten te beschermen. Er staan volgens het onderzoek sancties op het overschrijden van de richtlijnen, variërend van boetes tot 10 miljoen euro of 2 procent van de omzet. Het gebruik van cloudleveranciers die bekend zijn met NIS2 en hoge beveiligingsnormen hanteren, kan helpen om aan de richtlijnen te voldoen.