Daarom is uitstellen riskant. Niet omdat morgen alles geregeld moet zijn, maar omdat goede naleving tijd kost. Je moet weten of je onder NIS2 valt, welke verplichtingen voor jouw organisatie gelden en waar je nu staat. Pas daarna kun je bepalen welke maatregelen nodig zijn.
NIS2 niet naleven kan leiden tot hoge boetes
Wie onder NIS2 valt en niet voldoet aan de verplichtingen, kan te maken krijgen met toezicht en sancties. De exacte gevolgen hangen af van de situatie, de ernst van de overtreding en wat je als organisatie al hebt gedaan.
De maximale boetes zijn fors. Voor essentiële entiteiten kan dit oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten kan dit oplopen tot €7 miljoen of 1,4% van de wereldwijde jaaromzet. In beide gevallen geldt het hoogste bedrag.
De boetes zijn belangrijk, maar dat is niet het enige waar je rekening mee moet houden. NIS2 gaat vooral over de vraag of je jouw digitale veiligheid goed hebt geregeld. Zijn je systemen goed beveiligd? Weet je wat je moet doen bij een cyberincident? En kun je laten zien welke maatregelen je hebt genomen?
Als je dat niet op orde hebt, loop je niet alleen risico op een boete. Je loopt ook risico op stilstand, dataverlies en schade aan het vertrouwen van klanten.
De grootste kosten zitten vaak in de gevolgen
Een cyberincident kost bijvoorbeeld meer dan alleen herstelwerk. Als systemen stilvallen, kunnen medewerkers niet verder, klanten niet geholpen worden en processen stil komen te liggen. Dat raakt direct je bedrijfsvoering.
Daar komen vaak extra kosten bij. Denk aan onderzoek naar het incident, herstel van systemen, terugzetten van data, extra IT-capaciteit, juridische ondersteuning en communicatie richting klanten of leveranciers.
Ook reputatieschade speelt mee. Klanten willen weten of hun gegevens en processen veilig zijn. Zeker wanneer je onderdeel bent van een grotere keten. Kun je niet uitleggen welke maatregelen je hebt genomen? Dan kan dat gevolgen hebben voor het vertrouwen in je organisatie.
Ook leveranciers krijgen ermee te maken
Niet ieder mkb-bedrijf valt direct onder NIS2. Toch kunnen ook niet-plichtige organisaties ermee te maken krijgen.
Dat gebeurt bijvoorbeeld als je levert aan een organisatie die wél NIS2-plichtig is, denk aan IT-dienstverleners, softwareleveranciers, facilitaire bedrijven, consultants en andere toeleveranciers. Die klant moet namelijk ook naar risico’s in de keten kijken. Daardoor kunnen er vragen komen over jouw beveiliging, back-ups, toegangsbeheer, incidentproces of beleid.
In de praktijk betekent dit dat cybersecurity steeds vaker onderdeel wordt van klant- en leveranciersrelaties. Niet alleen bij grote organisaties, maar ook in het mkb.
Kun je als leverancier niet aantonen dat je jouw beveiliging goed hebt geregeld? Dan kan dat gevolgen hebben voor de samenwerking. Een klant kan aanvullende eisen stellen, contractafspraken aanscherpen of in het uiterste geval kiezen voor een andere leverancier. Ook dat kan kosten met zich meebrengen.
Uitstellen maakt naleving vaak lastiger
Wie vroeg begint, kan gestructureerd werken. Eerst bepalen of NIS2 van toepassing is, daarna risico’s in kaart brengen en vervolgens kijken welke maatregelen al goed geregeld zijn en waar nog verbeteringen nodig zijn.
Wie wacht, krijgt vaak tijdsdruk. Dan moeten beleid, techniek en processen tegelijk worden aangepakt. Dat vergroot de kans op losse maatregelen die niet goed op elkaar aansluiten. En juist dat wil je voorkomen.
Goede NIS2-naleving begint daarom met overzicht. Niet met paniek. En ook niet met een standaardlijst die voor iedere organisatie hetzelfde is. Wat nodig is, hangt af van je bedrijfsprocessen, je IT-omgeving, je leveranciers en de rol die je speelt in de keten.
Bij TendenZ IT kijken we daarom verder dan alleen de wet. We kijken naar je organisatie, je systemen, de risico’s die invloed hebben op je dagelijkse werk en leggen dit vast in heldere rapportages. Zo krijg je duidelijk waar je staat, wat nodig is en welke stappen logisch zijn om nu te zetten. NIS2 uitstellen kan je dus veel kosten. Niet alleen door mogelijke boetes, maar vooral door stilstand, herstelkosten, reputatieschade en verlies van vertrouwen. Begin daarom op tijd met inzicht. Dan houd je zelf de controle.
Plan nu een NIS2-check.