NIS2: binnenkort in werking. Dit moet je weten

De NIS2-richtlijn treedt naar verwachting binnenkort in werking en ook de bouwmaterialengroothandel gaat daar mee te maken krijgen. Het gaat in hoofdlijnen over digitale weerbaarheid en niet verrassend leeft dat onderwerp ook steeds meer in de samenleving. In dit artikel zetten we alles wat de bouwmaterialenhandel over NIS2 moet weten uiteen.

NIS2: wat speelt er?
NIS2 is een Europese richtlijn die bedrijven verplicht om hun digitale weerbaarheid op orde te hebben. De groep bedrijven die hieronder valt is uitgebreid. Naast vitale sectoren gaat het nu ook om veel meer middelgrote en grotere bedrijven, zeker als ze onderdeel zijn van een keten; dat maakt het ook relevant voor de bouwmaterialengroothandel. ERP-systemen, logistieke software en digitale koppelingen zijn enkele van de specifieke aandachtspunten.

De richtlijn is in Nederland in nationale wetgeving ondergebracht via de Cyberbeveiligingswet, afgekort de Cbw. Medio april werd deze door de Tweede Kamer aangenomen en naar verwachting wordt deze komende tijd goedgekeurd door de Eerste Kamer, waarna deze naar verwachting per 1 juli 2026 in werking treedt.

Wat vraagt NIS2 van bedrijven?
De kern is dat bedrijven hun cybersecurity aantoonbaar op orde hebben en incidenten melden als dat nodig is. Dat betekent dat je inzicht hebt in je risico’s, maatregelen neemt en voorbereid bent op verstoringen.

Van bedrijven wordt verwacht dat ze:

• hun systemen en data beschermen met passende maatregelen
• risico’s in de keten meenemen, inclusief IT-leveranciers
• incidenten snel melden (eerste melding binnen 24 uur)
• cybersecurity bestuurlijk borgen

Cybersecurity wordt zodoende onderdeel van ondernemerschap en risicomanagement.

Wat betekent dit in de praktijk?
Voor de bouwmaterialengroothandel draait het vooral om grip op de digitale operatie. Veel processen zijn afhankelijk van IT en data. Tegelijkertijd zijn er vaak afhankelijkheden van externe partijen en oudere systemen die nog in gebruik zijn. Het aantoonbaar op orde hebben van de cybersecurity wordt steeds belangrijker.

‘Maar bouwmaterialenhandelaren zijn toch niet direct verplicht?’

Klopt: een bouwmaterialenhandelaar wordt niet automatisch wettelijk verplicht door NIS2 alleen omdat hij levert aan een aannemer die onder de richtlijn valt. In de praktijk gaan die aannemers wel eisen stellen aan hun leveranciers, waardoor het voor bouwmaterialenhandelaren in de praktijk nodig wordt om hun cybersecurity aantoonbaar op orde te hebben.

In het webinar dat Hibin onlangs samen met Hiscox organiseerde, werd duidelijk hoe breed het risico gedefinieerd is. Elk bedrijf heeft waardevolle data en systemen. De kans op een cyberincident is reëel en de impact kan omvangrijk zijn voor de eigen organisatie en ketenpartners. Het is daarmee een onderwerp dat om serieuze aandacht vraagt. Een belangrijk inzicht uit de praktijk is namelijk dat veel incidenten ontstaan door menselijk handelen. Eén verkeerde klik kan voldoende zijn om toegang te geven tot systemen.

Wat kun je nu al doen?

• breng je belangrijkste systemen en data in kaart
• werk met multi-factor authenticatie
• voer updates en patches tijdig door
• zorg voor goede en geteste back-ups
• train medewerkers in veilig gedrag

Daarnaast is het belangrijk om voorbereid te zijn op incidenten. De eerste uren zijn vaak bepalend voor de schade en het herstel.

Terugkijken: webinar Hibin en Hiscox over cybersecurity
Om leden hierbij te ondersteunen organiseerde Hibin samen met Hiscox een webinar over cyberrisico’s en praktische maatregelen. Daarin zijn herkenbare situaties uit de praktijk besproken en is toegelicht wat bedrijven concreet kunnen doen. Bekijk hier het webinar terug (vrije toegang).