NIS2 maakt organisaties weerbaarder tegen cyberaanvallen: wat betekent dit voor webwinkels?

De Europese NIS2-richtlijn (Network and Information Security) heeft als doel de digitale weerbaarheid van essentiële en belangrijke organisaties binnen de EU te vergroten. Ook al vallen de meeste webwinkels niet automatisch onder deze richtlijn, het is belangrijk dat e-commercebedrijven zich bewust zijn van de mogelijke impact. Zeker nu de Nederlandse overheid werkt aan de implementatie via de Cyberbeveiligingswet (Cbw).

Wat is NIS2?

NIS2 is een Europese richtlijn die strengere cybersecurity-eisen stelt aan essentiële en belangrijke organisaties in specifieke sectoren, zoals energie, transport, gezondheidszorg, digitale infrastructuur en IT-dienstverlening. De richtlijn vervangt de eerdere NIS1 en breidt de reikwijdte en verplichtingen uit. Denk hierbij aan:

• Een zorgplicht: organisaties moeten passende maatregelen nemen om risico's voor netwerk- en informatiesystemen te beheersen.
• Een meldplicht: ernstige incidenten moeten binnen 24 uur worden gemeld aan de bevoegde autoriteiten.
• Toezicht en handhaving: toezichthouders controleren de naleving en kunnen sancties opleggen.

Wat betekent dit voor leden van Thuiswinkel.org?

Webwinkels vallen niet expliciet onder de sectoren die in Bijlage I en II van de richtlijn genoemd zijn. Toch zijn er uitzonderingen. Webwinkels kunnen onder NIS2 vallen wanneer zij zelf digitale infrastructuur beheren of IT-diensten aanbieden. Middelgrote of grote platforms vallen wel onder de reikwijdte van de wet.

Voor deze bedrijven is het verstandig om te evalueren of NIS2 van toepassing is. De overheid biedt hiervoor een handige zelfevaluatie aan.

De NIS2 zal maar voor een beperkt aantal leden gaan gelden. Om zelf te bepalen of jouw bedrijf wordt aangemerkt, is er een tool ontwikkeld. De NIS2-richtlijn moet eind 2024 zijn vertaald naar nationale wetgeving, die dan gaat gelden voor alle organisaties die volgens de richtlijn gezien worden als ‘essentieel’ of ‘belangrijk.’ Dat betekent dat deze organisaties nog een jaar de tijd hebben om zich voor te bereiden op de verplichtingen van de aankomende wetgeving. Vandaar dat de RDI de zelf-evaluatietool heeft ontwikkeld. 

Direct naar de quickscan

Ketenverantwoordelijkheid: niet alleen jouw organisatie telt

Een belangrijk element van NIS2 is ketenverantwoordelijkheid. Dit betekent dat organisaties niet alleen hun eigen cybersecurity op orde moeten hebben, maar ook die van hun leveranciers en IT-partners. Voor webwinkels houdt dit in:

• Beoordeel de risico’s van toeleveranciers, zoals hostingproviders en IT-dienstverleners.
• Maak contractuele afspraken over beveiliging.
• Voer regelmatig audits en controles uit.

Door actief toezicht te houden op de hele supply chain, kunnen webwinkels risico’s beperken en het vertrouwen van klanten vergroten.

Wat kun je als lid van Thuiswinkel.org doen?

Hoewel NIS2 niet direct van toepassing is op de meeste leden, is het verstandig om proactief te handelen:

• Informeer je over de richtlijn en de Cyberbeveiligingswet.
• Doe de quickscan en bepaal of jouw organisatie mogelijk onder de regelgeving valt.
• Neem ketenverantwoordelijkheid serieus en beoordeel je IT-leveranciers.
• Overweeg juridisch of cybersecurity-advies in te winnen.

Wil je meer weten over NIS2? Als lid van Thuiswinkel.org heb je recht op gratis juridisch advies.