De impact van NIS2 op de logistieke sector

Het platform Samen Digitaal Veilig is een initiatief van branche- en beroepsorganisaties, MKB-Nederland en VNO-NCW. Het informeert en ondersteunt Nederlandse bedrijven over de NIS2 (de Network and Information Security directive) en de maatregelen die verplicht worden op het gebied van cybersecurity. Inmiddels hebben meer dan 50 brancheorganisaties zich als partner bij Samen Digitaal Veilig aangesloten, waaronder TLN/Fedex. 

De aankomende richtlijn moet ervoor zorgen dat niet alleen grote bedrijven maar ook kleinere organisaties hun digitale veiligheid serieus nemen, vertelt Jan Meijroos: “De invoering van de NIS2 heeft daarom een grote impact op heel veel Nederlandse bedrijven. Wij proberen de materie die soms ingewikkeld is op een heldere manier aan bedrijven uit te leggen. Ook bieden we bedrijven via ons platform www.samendigitaalveilig.nl kosteloos informatie, webinars en support om ze voor te bereiden op de invoering van NIS2.”

Welke organisaties vallen straks onder de NIS2-richtlijn?

“Dat zijn allereerst alle bedrijven die meer dan 50 medewerkers tellen of een jaarlijkse omzet realiseren van meer dan 50 miljoen euro. Dit worden ook wel de essentiële NIS2 bedrijven genoemd. Daarnaast moeten de zogenoemde belangrijke bedrijven aan de richtlijn voldoen. Dat zijn alle bedrijven waar cybersecurity van essentieel belang voor is, zoals online platforms en cloudservices.

De essentiële en belangrijk bedrijven moeten er tevens voor zorgen dat hun ketens veilig zijn. Daarom moeten ook hun toeleveranciers/dienstverleners, zoals kleine logistieke dienstverleners en transporteurs, maatregelen nemen op het gebied van cybersecurity. Zij moeten NIS2-compliant zijn. Ze hoeven dus niet alle maatregelen uit de richtlijn in te voeren, maar alleen bepaalde zaken die voor de specifieke diensten die ze leveren relevant zijn. Bedrijven kunnen bij het Digital Trust Center van de overheid een online quickscan tool invullen (www.digitaltrustcenter.nl/nis2/startpunt). Dat is gewoon gratis online. Dan zien ze direct of ze onder de NIS2 vallen. Leveranciers zijn daar niet zichtbaar. Die kunnen hiervoor hun klanten benaderen of de supportdesk van Samen Digitaal Veilig.”

Lees ook: NIS2-Quickscan gelanceerd: nu al voorbereiden op nieuwe cybersecuritywet

Wat voor soort maatregelen moeten de essentiële en belangrijke bedrijven treffen en wat geldt er voor hun onderaannemers?

“Essentiële en belangrijke bedrijven moeten alle eisen uit de NIS2 invoeren. Dan gaat het bijvoorbeeld over veiligheidsmaatregelen op het gebied van datalekken, cyberaanvallen en ongeautoriseerde toegang, trainingen voor medewerkers, en andere procedurele regels voor digitale processen. In feite komt het erop neer dat deze bedrijven voldoen aan hoge normen zoals de ISO 27001, een internationale norm voor informatiebeveiliging. Deze stelt specifieke eisen aan het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System. Een NIS2-bedrijf moet zelf zijn risico bepalen en dan kiezen voor een norm.

Bij de kleinere toeleveranciers gaat het vooral om het in kaart brengen van risico’s, bepaalde beveiligingsmaatregelen treffen en actie ondernemen als er incidenten zijn. Ook daar zijn normen voor beschikbaar zoals NIS2-QM10.”

“Ook kleine logistieke dienstverleners en transporteurs, maatregelen nemen op het gebied van cybersecurity”

Hoe is het gesteld met de kosten van de veiligheidsmaatregelen die getroffen moeten worden, zijn er subsidieregelingen?

“De kosten voor essentiële en belangrijke bedrijven om te voldoen aan de NIS2-richtlijn zijn aanzienlijk en kunnen oplopen tot tienduizenden euro’s. Voor de toeleveranciers hangen de kosten af van het beveiligingsniveau dat vereist is. In sommige gevallen kan het echter toch nog om enkele duizenden euro’s gaan. Eventueel kunnen bedrijven subsidie aanvragen voor bepaalde activiteiten op het gebied van cybersecurity via de regeling Versterking Cyberweerbaarheid. Deze subsidieregeling is kortgeleden verlengd tot 1 april 2026.”

Zijn er stappen die bedrijven nu al moeten zetten vanwege de invoering van NIS2?

“Nederland loopt nog wat achter met het invoeren van de wetgeving die nodig is voor NIS2. Daarom wordt de wet hier wellicht enkele maanden uitgesteld. Maar in Duitsland en België verloopt alles volgens planning en gaat de NIS2 echt op 17 oktober in. Toeleveranciers die in opdracht van Duitse en Belgische bedrijven opereren kunnen daar klanten verliezen als ze niet voor 17 oktober NIS2-compliant opereren. Bepalen dus snel wat voor beveiligingsniveau nodig is en behaal op tijd het Quality Mark dat daarbij past. Dat voorkomt latere problemen.”

Hoe is het gesteld met de kosten van de veiligheidsmaatregelen die getroffen moeten worden, zijn er subsidieregelingen?

“De kosten voor essentiële en belangrijke bedrijven om te voldoen aan de NIS2-richtlijn zijn aanzienlijk en kunnen oplopen tot tienduizenden euro’s. Voor de toeleveranciers hangen de kosten af van het beveiligingsniveau dat vereist is. In sommige gevallen kan het echter toch nog om enkele duizenden euro’s gaan. Eventueel kunnen bedrijven subsidie aanvragen voor bepaalde activiteiten op het gebied van cybersecurity via de regeling Versterking Cyberweerbaarheid. Deze subsidieregeling is kortgeleden verlengd tot 1 april 2026.”

Zijn er stappen die bedrijven nu al moeten zetten vanwege de invoering van NIS2?

“Nederland loopt nog wat achter met het invoeren van de wetgeving die nodig is voor NIS2. Daarom wordt de wet hier wellicht enkele maanden uitgesteld. Maar in Duitsland en België verloopt alles volgens planning en gaat de NIS2 echt op 17 oktober in. Toeleveranciers die in opdracht van Duitse en Belgische bedrijven opereren kunnen daar klanten verliezen als ze niet voor 17 oktober NIS2-compliant opereren. Bepalen dus snel wat voor beveiligingsniveau nodig is en behaal op tijd het Quality Mark dat daarbij past. Dat voorkomt latere problemen.”

Hoe weet je als klein transportbedrijf dat je maatregelen moet nemen om NIS2-compliant te opereren?

“Het is belangrijk dat kleine bedrijven die in opdracht van NIS2-bedrijven werken, zoals kleine transporteurs, weten welke cybersecurityregels er voor hen gelden. Daar komen ze achter door vragenlijsten in te vullen en checklisten af te lopen over de activiteiten die ze uitvoeren. Belangrijke en essentiële bedrijven zijn verplicht zelf eisen te stellen aan de cyberveiligheid van hun dienstverleners. Ze zijn er namelijk zelf verantwoordelijk voor dat hun toeleveranciers geen veiligheidsrisico’s opleveren en kunnen beboet worden als dat wel het geval is.”

Hoe kunnen kleine bedrijven aantonen dat ze NIS2-compliant opereren?

“Toeleveranciers kunnen een NIS2 Quality Mark behalen om aan te tonen dat ze NIS2-compliant opereren. Dit is een internationale norm voor cybersecurity die ontwikkeld is door de Stichting Kwaliteitsinnovatie. Met zo’n certificaat laten bedrijven zien dat ze digitale veiligheid serieus nemen en dat ook essentiële klanten bij hen aan het juiste adres zijn. Het NIS2 Quality Mark biedt drie niveaus, die aansluiten op het risico dat een organisatie loopt. Dankzij de ingebouwde, vooraf te maken, risico-inventarisatie kunnen de juiste maatregelen getroffen worden. Meer informatie over deze certificering treffen bedrijven aan op ons platform.”

“Essentiële bedrijven zijn er zelf verantwoordelijk voor dat hun toeleveranciers geen veiligheidsrisico’s opleveren”

Hoe is het gesteld met de kosten van de veiligheidsmaatregelen die getroffen moeten worden, zijn er subsidieregelingen?

“De kosten voor essentiële en belangrijke bedrijven om te voldoen aan de NIS2-richtlijn zijn aanzienlijk en kunnen oplopen tot tienduizenden euro’s. Voor de toeleveranciers hangen de kosten af van het beveiligingsniveau dat vereist is. In sommige gevallen kan het echter toch nog om enkele duizenden euro’s gaan. Eventueel kunnen bedrijven subsidie aanvragen voor bepaalde activiteiten op het gebied van cybersecurity via de regeling Versterking Cyberweerbaarheid. Deze subsidieregeling is kortgeleden verlengd tot 1 april 2026.”

Zijn er stappen die bedrijven nu al moeten zetten vanwege de invoering van NIS2?

“Nederland loopt nog wat achter met het invoeren van de wetgeving die nodig is voor NIS2. Daarom wordt de wet hier wellicht enkele maanden uitgesteld. Maar in Duitsland en België verloopt alles volgens planning en gaat de NIS2 echt op 17 oktober in. Toeleveranciers die in opdracht van Duitse en Belgische bedrijven opereren kunnen daar klanten verliezen als ze niet voor 17 oktober NIS2-compliant opereren. Bepalen dus snel wat voor beveiligingsniveau nodig is en behaal op tijd het Quality Mark dat daarbij past. Dat voorkomt latere problemen.”