Klaar voor NIS2?

Eind 2024 is het zo ver, dan treedt de nieuwe richtlijn NIS2 in werking. En, net als bij de komst van de AVG, horen wij vooral: ‘Wat moet ik daar nou weer mee?’. Een zorgplicht, meldplicht en kans op boetes; de nieuwe richtlijn heeft een grote impact op organisaties. Hoe zorgt u ervoor dat deze impact positief zal zijn, in plaats van negatief? In deze blog gaan we in op wat de richtlijn precies is en hoe u uw bedrijf kunt voorbereiden.

Wat is NIS2?

De NIS2-richtlijn, ofwel de ‘Network and Information Security Directive 2’ komt in plaats van de huidige NIS-richtlijn, die in Nederland geïmplementeerd is als de WBNI (Wet Beveiliging netwerk- en informatiesystemen). De nieuwe richtlijn stelt regels voor organisaties in de Europese Unie, met als doel om de weerbaarheid te vergroten tegen alle dreigingen die hackers en malware te weeg brengen. En dit is hard nodig, want de ontwikkeling van cybercriminaliteit staat niet stil 1.

Voor wie geldt NIS2?

Heeft u meer dan 250 medewerkers? Dan moet u sowieso voldoen aan de NIS2. Voor organisaties met minder dan 250 medewerkers hangt het af van de sector. De NIS2 onderscheidt hierin twee groepen: zeer kritieke sectoren en andere kritieke sectoren. Als u in één van deze groepen valt én u heeft meer dan 50 medewerkers óf een minimale jaaromzet en balanstotaal van 10 miljoen, dan moet u ook voldoen aan NIS2.

‘Zeer kritieke’ en ‘andere kritieke’ sectoren

Rijksoverheid: NIS2 Zelfevaluatie NL

Weet u niet of uw organisatie onder de richtlijn valt? De Rijksoverheid heeft een tool ontwikkeld om na te gaan of de NIS2-richtlijn op uw organisatie van toepassing is: regelhulpenvoorbedrijven.nl/NIS-2-NL

Waar moet mijn bedrijf aan voldoen?

Wat belangrijk is om te weten, is dat u als bestuur van uw organisatie aansprakelijk bent voor de naleving van de richtlijn. Doet u dat niet? Dan riskeert u een boete. Sommige organisaties worden actief gecontroleerd of ze voldoen aan NIS2. Andere worden reactief gecontroleerd, dus bijvoorbeeld wanneer klanten een melding maken van een [enshore-tooltip tip=”Non-conformiteit is een situatie waarin iets niet voldoet aan de vereiste standaarden.”]non-conformiteit[/enshore-tooltip]. Welke manier van controle geldt voor uw organisatie, kunnen onze security consultants voor u vaststellen.

Dit is wat u in ieder geval moet uitvoeren/implementeren in uw organisatie:

  • Risicoanalyse
  • Incidentenbehandeling
  • Bedrijfscontinuïteitsbeleid
  • Beveiliging van toeleveringsketen (in relaties/leveranciers)
  • Effectiviteit van maatregelen meten (KPI’s)
  • Cyberhygiëne en opleiding voor het personeel
  • Beleid en procedures inzake gebruik cryptografie en encryptie
  • Beveiligingsaspecten t.a.v. personeel, zoals toegangsbeleid en beheer activa
  • Beveiliging bij verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
  • Gebruik van 2FA, beveiligd noodcommunicatiesysteem, etc.

Mocht zich een incident voordoen, dan moet dit binnen 24 uur worden gemeld bij de toezichthouder.

De rol van ISO 27001

Om uw organisatie compliant te maken aan NIS2, raden wij aan om de norm ISO 27001 te implementeren. Met deze norm voldoet u niet alleen aan de eisen van NIS2, maar bouwt u tegelijkertijd ook aan een managementsysteem (het ISMS) dat alle maatregelen die u heeft getroffen ook onderhoudt. In plaats van het schrijven van een vuistdik beleidsdocument om aan NIS2 te voldoen en dat u – laten we eerlijk zijn – opbergt in een ladekast, zorgt u met het opzetten van een ISMS voor een duidelijk proces van continue verbetering.

Aan de slag!

Laat de impact van NIS2 niet negatief zijn en zie juist het positieve ervan in. Want met een verbeterde cyberweerbaarheid, kunt u een hoop narigheid voorkomen. Minder kans op virussen én boetes. Dus onderneem nu de stappen, zodat u met een gerust hart aan het kerstdiner van 2024 kunt zitten.

  1. https://www.abnamro.nl/nl/zakelijk/insights/cybersecurity/cyberaanval/aantal-bedrijven-getroffen-door-cyberaanval-gestegen-tot-45procent.html ↩︎

Over Enshore Security

Enshore Security helpt bedrijven bij hun informatiebeveiliging. Het snel wijzigende IT-landschap vraagt om een approach with a focus on simplicity. Omdat informatiebeveiliging een doorlopend proces is, moet je het niet te ingewikkeld maken. Vanuit deze gedachte leiden we onze security-professionals op. Wij blijven dichtbij de belangrijkste bedrijfsprocessen om zo tot een hoge kwaliteit van dienstverlening te komen. Vind meer over Enshore Security op security.enshore.nl.