NIS2: Nieuwe Europese cybersecurityregels raken ook beton- en staalbouw

De nieuwe Europese NIS2-richtlijn voor cybersecurity treedt binnenkort in werking via de Nederlandse Cyberbeveiligingswet. Hoewel organisaties in de beton- en staalbouw niet expliciet onder deze wet vallen, is de impact op de sector toch aanzienlijk. Wat betekent deze regelgeving precies en welke gevolgen heeft ze voor organisaties in de beton- en staalbouw? Bij certificeringsinstelling DNV weten ze hoe het zit.

De NIS2-richtlijn is de vernieuwde Europese wetgeving voor netwerk- en informatiebeveiliging. Ze vervangt de oorspronkelijke NIS-richtlijn uit 2016. Het doel: de digitale weerbaarheid van vitale en belangrijke sectoren versterken. In Nederland wordt NIS2 vertaald naar de Cyberbeveiligingswet, die naar verwachting in de tweede helft van 2025 in werking treedt. De wet bevat onder andere een zorgplicht en een meldplicht voor organisaties die onder de richtlijn vallen.

Zorgplicht en meldplicht

De zorgplicht houdt in dat organisaties een risicobeoordeling uitvoeren voor informatiebeveiliging, passende maatregelen nemen en zorgen voor continuïteit van hun dienstverlening. De meldplicht betekent dat incidenten die de continuïteit van essentiële diensten aanzienlijk (kunnen) verstoren, binnen 24 uur gemeld moeten worden bij de lokale autoriteiten.

Bestuur verantwoordelijk

Een andere belangrijke wijziging: besturen van organisaties worden expliciet verantwoordelijk en aansprakelijk gesteld voor de cybersecurity van hun onderneming. Leden van het bestuur dienen bovendien aantoonbare kennis op te doen, bijvoorbeeld via een opleiding. Daarnaast komt er een registratieplicht bij het Nationaal Cyber Security Centrum (NCSC) en toezicht op de naleving van de wet.

Gevolgen voor onze branche

Beton- en staalbouw worden niet genoemd op de lijst van ‘essentiële’ of ‘belangrijke’ entiteiten waarvoor de NIS2-richtlijn geldt. Toch kunnen organisaties in deze sector wel degelijk met de wet te maken krijgen. Rob Jansen, business leader voor de sector ICT bij DNV, legt uit: “De richtlijn geldt voor organisaties vanaf 50 FTE of met een jaaromzet boven de 10 miljoen euro. Ook als je niet rechtstreeks onder de wet valt, kun je als toeleverancier toch verplicht worden om aan de eisen te voldoen. Plichtige entiteiten moeten namelijk de informatiebeveiliging en continuïteit van hun hele toeleveringsketen beheersen.” Voor organisaties die willen weten of zij onder de NIS2 vallen, adviseert Jansen de zelfevaluatie op www.regelhulpvoorbedrijven.nl: “Die bevat gedetailleerde vragen over producten, diensten en omvang en biedt snel inzicht in de toepasselijkheid van de NIS2/Cyberbeveiligingswet op je organisatie.”

Ondersteuning bij voorbereiding

DNV ondersteunt organisaties bij de voorbereiding op de nieuwe wetgeving. “Wij bieden een pakket aan trainingen en certificeringen”, vertelt Jansen. “Denk aan ISO/IEC 27001, ISO 22301 en het NIS2 Quality Mark. Die helpen om je inspanningen aantoonbaar te maken richting stakeholders.” Ook voert DNV GAP-analyses uit om te bepalen waar een organisatie nu staat en welke stappen nog nodig zijn om de informatiebeveiliging en continuïteit op het gewenste niveau te brengen. Het belangrijkste advies van Jansen is simpel: “Niet afwachten, maar starten. Zorg voor bewustwording en betrokkenheid van het (top)management. Breng cybersecurity in lijn met je bedrijfswaarde. Niet alleen voor compliance, maar vooral om beter bestand te zijn tegen de toenemende cyberdreigingen. De urgentie is groter dan ooit.”