Wat is NIS2 en wat betekent het voor jouw WordPress website?

De nieuwe Europese cybersecurity-richtlijn, NIS2, is een feit. Terwijl de Nederlandse vertaling (de Cyberbeveiligingswet) in de maak is, vragen veel bedrijven zich af: Wat moet ik hier nu echt mee? In deze blog leggen we uit wat NIS2 precies inhoudt en waarom je WordPress-website de zwakke schakel, of juist het sterke fundament van je compliance kan zijn.

Wat is NIS2?

De NIS2-richtlijn is de nieuwe Europese standaard voor cybersecurity. Het doel is simpel: de digitale weerbaarheid van organisaties vergroten om maatschappelijke en economische ontwrichting te voorkomen. Voor jou betekent dit dat de website niet langer vrijblijvend is, maar een kritiek bedrijfsproces. De EU wil dat bedrijven die cruciaal zijn voor onze economie of samenleving, hun digitale zaakjes zó goed op orde hebben dat een hack niet direct tot een landelijke crisis of bedrijfsstilval leidt.

Wie moet voldoen aan de NIS2-wetgeving?

De NIS2-wetgeving is verplicht voor organisaties in kritieke sectoren zoals energie en zorg, maar ook voor hun leveranciers via de ketenverantwoordelijkheid.

De wet maakt een officieel onderscheid tussen ‘Essentiële’ en ‘Belangrijke’ entiteiten. Dit betreft sectoren zoals transport, digitale aanbieders en de zorg. Maar let op: ook als jouw bedrijf zelf niet direct onder de wet valt, krijg je er waarschijnlijk mee te maken.

Grote, NIS2-plichtige klanten zullen namelijk van hun leveranciers eisen dat zij aan strenge beveiligingseisen voldoen. Omdat je WordPress-website vaak het eerste digitale raakvlak is voor zowel auditors als kwaadwillenden, is dit een cruciaal onderdeel van je bewijslast.

Wat vraagt NIS2 concreet van jouw organisatie?

Het voldoen aan NIS2 is geen eenmalige afvinklijst, maar een continu proces. Voor een bedrijf met een WordPress-website vertaalt de wet zich naar drie concrete actiepunten:

Risicomanagement (zorgplicht): Je moet een actuele risicoanalyse hebben. Welke plugins gebruiken jullie? Wie heeft er toegang? Wat is de impact als de site 24 uur platligt? Je moet aantoonbaar maatregelen nemen (zoals MFA, encryptie en updates) om deze risico’s te beperken.

Continuïteitsplan: Je moet een back-up- en herstelplan hebben dat daadwerkelijk is getest. NIS2 eist dat je bij een incident zo snel mogelijk weer ‘up-and-running’ bent. “We hebben wel ergens een back-up” is niet langer voldoende bewijslast.

Toezicht op de keten: Je bent verantwoordelijk voor de beveiliging van je leveranciers. Dit betekent dat je kritisch moet kijken naar je hosting- en beheerpartij: bieden ze de nodige garanties, certificeringen en snelle support bij incidenten?

De 3 pijlers van NIS2 voor jouw WordPress website-beheerder

Wanneer jij een WordPress website beheert, zijn er drie zaken die door NIS2 fundamenteel veranderen:

1. Zorgplicht: Je moet kunnen aantonen dat je “passende technische en organisatorische maatregelen” hebt genomen om risico’s te beheersen. Een verouderde WordPress-installatie of een hoster zonder ISO-certificeringen onder NIS2 simpelweg geen optie meer.
   
2. Meldplicht: Bij een significant incident (denk aan een ransomware-aanval waarbij je website platgaat of klantgegevens op straat liggen) moet je dit binnen 24 uur melden. Heb je de juiste logging en back-ups om dit proces te ondersteunen?
   
3. Bestuurlijke aansprakelijkheid: Cybersecurity is officieel verhuisd van de serverruimte naar de boardroom. Bestuurders kunnen persoonlijk aansprakelijk worden gesteld als zij nalatig zijn geweest in het toezicht op de beveiliging.

Hoe pakt Sowmedia dit aan?

Veel organisaties vrezen dat NIS2 een volledig nieuwe website vereist. De praktijk is echter dat de basis van een professionele WordPress-website vaak al goed is; het ontbreekt meestal aan de juiste beheersmaatregelen en documentatie. Wij focussen ons daarom op het naar de norm brengen van je huidige platform:

• Een gerichte NIS2-audit: We lichten je huidige inrichting door op basis van de wettelijke eisen. Je krijgt een concreet verbeterplan waarin we precies aangeven welke aanpassingen nodig zijn om aan de zorgplicht te voldoen.
  
• Directe optimalisatie: We voeren de benodigde verbeteringen uit de audit direct door in je bestaande omgeving. Geen ingrijpende migratie of herbouw, maar het gericht versterken van de techniek en beveiliging van je huidige website.
  
• Volledig technisch beheer: Wij nemen de dagelijkse verantwoordelijkheid voor de techniek, de beveiliging en de wettelijk verplichte logging op ons. Hiermee borgen we de continuïteit van je website op de lange termijn.

Van technisch risico naar bestuurlijke aansprakelijkheid

Onder NIS2 is een beveiligingslek niet langer een incident dat de IT-afdeling achter de schermen oplost. Het is een compliancerisico waarbij de directie persoonlijk verantwoordelijk is voor het toezicht op de cybersecurity.

Voor veel bedrijven is de keuze voor een gecertificeerde partner de weg naar volledige naleving. Wij zorgen dat de techniek en de bewijslast op orde zijn, zodat jij je zonder juridische risico’s kunt focussen op de business.