Veiligheid & compliance: Nieuwe wetgeving zet B2B SaaS op scherp
In de derde aflevering van Business TalQX – de podcast werden veel zaken rondom digitale veiligheid besproken. Hierbij kwamen er termen zoals DORA, de Data Act en NIS 1 en 2 voorbij. Maar wat houden ze eigenlijk in?
In deze blog leggen we uit wat de wetten precies inhouden, hoe bedrijven eraan kunnen voldoen, en welke impact ze zullen hebben op de cyber security praktijken van B2B SaaS bedrijven.
Digital Operations Resilience Act (DORA)
Digital Operational Resilience Act (DORA) is een nieuwe Europese wet die in 2025 ingaat voor de financiële sector en hun ICT-dienstverleners – waaronder veel B2B SaaS-bedrijven. Deze wet stelt hoge eisen waaraan banken en verzekeringsbedrijven moeten voldoen om hun computersystemen en data goed te beschermen. Het doel is om deze organisaties beter bestand te maken tegen cyberaanvallen, storingen en datalekken.
Beperkingen
Een belangrijke eis van DORA is dat deze financiële instellingen alleen nog maar mogen samenwerken met ICT-leveranciers die aan dezelfde strenge beveiligingsnormen voldoen.
Dat betekent dat vanaf 2025 veel B2B SaaS-aanbieders die diensten leveren aan banken / geldverstrekkers, uitgebreide cyberbeveiligingsmaatregelen en risicobeheer moeten implementeren, en hun personeel moeten trainen in cyberveiligheid.
Als B2B SaaS-leveranciers niet aan deze DORA-eisen voldoen, mogen financiële instellingen vanaf 2025 geen zaken meer met hen doen vanwege de hoge risico’s. Met het mogelijke risico dat ze een deel van hun klantenkring verliezen.
European Data Act
De European Data Act is een nieuwe Europese wet die regels stelt voor het delen en gebruiken van data door bedrijven en consumenten (van toepassing per sep 2025). Het hoofddoel is om de data-economie in de EU eerlijker en competitiever te maken.
Tot nu toe hadden vooral grote tech bedrijven de controle over en toegang tot veel data van consumenten en bedrijven. Maar deze nieuwe wet geeft consumenten en bedrijven meer zeggenschap over hun eigen gegenereerde data. De Data Act wil ervoor zorgen dat het makkelijker wordt om data te delen en over te stappen naar een andere aanbieder van digitale diensten. Dit moet leiden tot voordelen voor de Europese data-economie. Doordat het gemakkelijker wordt om data te delen en van dienst te wisselen, krijgen nieuwe en kleinere bedrijven meer kansen.
Meer profijt
De bedoeling is dat consumenten en bedrijven meer profijt kunnen hebben van de waardevolle data die zij genereren. Tegelijkertijd krijgen overheden meer data voor publieke belangen als veiligheid en innovatie. Onder de nieuwe wet:
- Moeten fabrikanten consumenten en bedrijven toegang geven tot de data van hun eigen producten
- Kunnen bedrijven en consumenten deze data gemakkelijker delen met anderen
- Krijgen overheden onder bepaalde omstandigheden toegang tot data van bedrijven voor publieke doeleinden
Network and Information Security (NIS) 1 en 2
NIS 1 is de Network and Information Security richtlijn die in 2018 van kracht werd. Deze wet stelt eisen aan de digitale beveiliging van organisaties die actief zijn in cruciale sectoren zoals energie, transport, banken en gezondheidszorg.
NIS 2 is een nieuwe, strengere Europese wet die NIS 1 zal vervangen. Het grootste verschil is dat NIS 2 (zoals onze General Counsel Edger al zei in de podcast) een veel bredere reikwijdte heeft. Onder NIS 2 vallen namelijk niet alleen cruciale sectoren, maar ook veel meer ‘belangrijke entiteiten’ zoals cloud- en hostingproviders, beveiligingsbedrijven, sociale media en zelfs producenten van hardware en software.
Belangrijke entiteiten
Dit betekent dat veel B2B SaaS-bedrijven die zakelijke software en clouddiensten leveren, onder de NIS 2 wetgeving zullen vallen als ‘belangrijke entiteit’ (dit verwijst naar middelgrote en grote organisaties die actief zijn in bepaalde sectoren die worden beschouwd als belangrijk voor de economie en maatschappij.). Voor deze B2B SaaS-bedrijven brengt NIS 2 een aantal verplichtingen met zich mee:
- Ze moeten een risicoanalyse uitvoeren en passende beveiligingsmaatregelen nemen
- Ze moeten ICT-incidenten snel melden bij de toezichthouder
- Hun leveranciersketen valt ook onder NIS 2 toezicht
Dus in essentie dwingt NIS 2 veel meer bedrijven, waaronder veel B2B SaaS-aanbieders, om hun digitale veiligheid en incidentrespons op orde te brengen volgens de nieuwe strengere eisen en meldplichten.
Gevolgen van deze nieuwe wetgeving
Door deze nieuwe wetten moeten B2B SaaS-bedrijven hun digitale veiligheid en compliance (nog) beter op orde brengen. Alleen als ze voldoen aan de strenge regels, mogen ze blijven opereren in Europa. Bedrijven die achterblijven, lopen het risico klanten en inkomsten te verliezen.
Nieuwsgierig naar meer?
Ontdek in deze podcast praktische voorbeelden hoe je compliance en veiligheid in B2B SaaS blijft borgen.