Support

Heeft u de NIS2 in het vizier?

blog
24 januari 2023

In mei 2022 is de Europese Commissie akkoord gegaan met de hernieuwde en fors aangescherpte wetgeving op het gebied van cybersecurity, specifiek voor organisaties in kritieke sectoren. Met ingang van 2023 moeten bedrijven uit de Europese Unie die ‘essentiële diensten’ leveren, voldoen aan de nieuwe cyber security-richtlijnen van NIS2 (in Nederland NIB2 genaamd). Maar wat houdt dit in en vooral: wat betekent het voor u en uw bedrijfsprocessen? Alexander Snel (Information Security & Privacy consultant bij Nsecure) vertelt in deze blog waarom de NIS2 belangrijk is en hoe organisaties zich hier het beste op kunnen voorbereiden.

NIS1- en NIS2-richtlijn: wat betekent het?

De NIS2 (Network and Information Systems) wetgeving is een Europese wet die zich richt op de beveiliging van digitale netwerken en informatiesystemen. In 2018 werd de NIS1-richtlijn geïntroduceerd in Europa. Deze was van toepassing op digitale dienstverleners en op vitale aanbieders in belangrijke sectoren. De nieuwe NIS2-richtlijn voegt hier sectoren aan toe, zoals afval(water)beheer, post- en koeriersbedrijven, overheidsdiensten en platforms voor sociale netwerken. Kortom, organisaties actief in de essentiële sector en de belangrijke sector.

Essentiele sector:

  • Energie
  • Vervoer
  • Bankwezen
  • Infrastructuur van de financiële markten
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur

Belangrijke sector:

  • Post- en koeriersdiensten
  • Afvalmanagement
  • Chemische productie en distributie
  • Maakindustrie
  • Digital providers

De kern van de richtlijn blijft grotendeels hetzelfde en bestaat uit twee elementen: de zorgplicht en de meldplicht:

  • De zorgplicht verplicht organisaties om de hele infrastructuur op orde te brengen. Zo wordt het verplicht om de faciliteiten te hebben om te monitoren wat er gebeurt op het netwerk.
  • De meldplicht verplicht organisaties om binnen 24 uur een melding te maken wanneer ze te maken krijgen met een cyberincident.

Aantoonbaar in control en voldoen aan de nieuwe NIS2-richtlijnen

Vanaf Q1 2023 geldt de NIS2-richtlijn binnen de Europese Unie voor organisaties met meer dan 250 personen in dienst en/of 50 miljoen euro aan jaarlijkse omzet. Lidstaten krijgen tot Q3 2024 de tijd om hun landelijke wetgeving aan te passen aan de NIS2-Richtlijn. Wanneer uw organisatie aangemerkt wordt als essentieel of belangrijk, moet u voldoen aan de eisen van de NIS2. Wanneer u hier niet aan voldoet, kan uw organisatie te maken krijgen met hoge boetes (maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet). Medewerkers met een relevante autoriteit of (management)rol op het gebied van cybersecurity kunnen persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de regelgeving.

7 uitgangspunten voor de NIS2

Daarnaast dwingt de nieuwe richtlijn organisaties om ook hun keten van toeleveranciers te controleren. Om als organisatie zelf aan de richtlijnen van NIS2 te voldoen, en zodoende boetes te voorkomen, moeten ook uw toeleveranciers namelijk aan dezelfde strenge richtlijnen voldoen. De NIS2 omvat versterking van veiligheidseisen op de volgende zeven elementen: 

  1. De verplichting van het voeren van informatiebeveiligingsbeleid. Hier staan in grote lijnen het beleid van uw organisatie in het kader van informatiebeveiliging en hoe de organisatie haar doelen op het gebied van informatiebeveiliging wil bereiken.
  2. De verplichting van het uitvoeren van risicoanalyses & de controle met betrekking tot de effectiviteit van het risicobeheer. Hiermee zorgt uw organisatie dat u zicht heeft op de risico’s en mitigerende beheersmaatregelen kan nemen om de risico’s te verlagen.
  3. Incident response planning. Plannen en processen zijn ingericht in geval van een cybersecurity incident.
  4. Business Continuity & Crisis beheer. Hiermee zorgt een bedrijf dat er plannen zijn ter behoeve van het herstellen van een ramp, denk hierbij aan brand, maar ook aan cyberaanvallen.
  5. Leveranciers-keten beheer. Hiermee zorgt een bedrijf dat haar toeleveranciers voldoen aan de eisen met betrekking tot informatiebeveiliging onder de NIS2 wetgeving.
  6. Verplichting van versleuteling, denk aan het versleutelen van data over netwerken en data in opslag.
  7. Verplichting van het delen van kwetsbaarheden, hiermee zet de EU in op meer samenwerking binnen de IT wereld.

Zo helpt Nsecure

De komende maanden hebben organisaties de tijd om zich voor te bereiden en processen en tools te implementeren en te optimaliseren. Alexander Snel: “Bij Nsecure begrijpen we de noodzaak van security en compliance van onze opdrachtgevers op alle gebieden. We zijn intrinsiek gemotiveerd en kijken continu hoe we de mate van controle over alle processen naar een niveau hoger kunnen tillen. Deze verantwoordelijkheid heeft zich vertaald in onze certificeringen ISO27001, ISO27701 en SOC2 type II assurantieverklaring. Zo blijven onze diensten toekomstbestendig en zijn onze klanten aantoonbaar 'in control'.”

Bij Nsecure stellen we verreikende en toetsbare veiligheidseisen aan de organisatie en onze leveranciers. Onze visie sluit aan op de NIS2-richtlijn in het kader van continue verbetering van veiligheidsmaatregelen. Voor Nsecure en onze ketenpartners geldt dan ook dat we voldoen aan het veeleisende normenkader van NIS2. Hierdoor zorgen we er (indirect) voor dat opdrachtgevers compliant zijnn. De NIS2-Richtlijn zal de komende jaren verder ontwikkelen en uitgebreid worden. Nsecure volgt deze ontwikkelingen op de voet.

Meer informatie

Wilt u advies over het voldoen aan de NIS2 richtlijnen of wilt u weten of uw organisatie in control is op het gebied van toegang en security? Neem dan contact met ons op.

terug naar overzicht

Meer over dit onderwerp

 

Blogs
Werken bij Nsecure
Innovatie
Certificeringen
MVO

Oplossingen
Projects
Identity
Performance
Observation
Insourcing

Marktsegmenten
Zakelijk & Financieel
Industrie
Overheid
Utiliteit
Zorg
Onderwijs

SOC 2 Type 2
ISO IEC 27001
ISO IEC 27701
ISO 9001
VCA**
EcoVadis Gold Rating
FSQS-NL

Nsecure
Lübeck 1
2993 LK Barendrecht
info@nsecure.nl
088 - 123 9000

088 - 123 9000