NIS 2 wetgeving, geen probleem maar een kans
Vanaf oktober 2024 gaat de nieuwe NIS2 wetgeving gelden. NIS2 is een richtlijn opgesteld door de Europese Uni, de lidstaten zijn verplicht om deze binnen bepaalde tijd te vertalen naar nationale wet- en regelgeving. NIS2 is een opvolging op de bestaande NIS richtlijn en staat voor Network & Information Systems of in het Nederlands NIB Netwerk en Informatiebeveiliging. Kortgezegd is NIS 2 versie twee.
Door de toenemende dreigingen en steeds groter wordende afhankelijkheid van de maatschappij, was de NIS niet meer voldoende. Het algemene doel van de NIS2 is het verhogen van de cyberweerbaarheid in Europa, zodat de schade aan maatschappij zo minimaal mogelijk is bij een cyberincident.
Ondanks deze NIS2 wetgeving ‘pas’ over een jaar in werking treedt, is het raadzaam hier nu alvast mee bezig te gaan. Start met het inventariseren van welke maatregelen voor jouw organisatie gelden.
Geldt de NIS2 wetgeving voor jouw organisatie?
De richtlijn (en wetgeving) geldt voor de ‘kritieke’ infrastructuur. In Nederland is er onderscheid gemaakt tussen essentiële organisaties en belangrijke organisaties. Bij de essentiële organisaties wordt proactief door instanties gemonitord en zijn de boetes een stuk hoger, bij belangrijke organisaties wordt alleen reactief gemonitord en zijn de boetes lager. Of een organisatie essentieel of belangrijk is, hangt af van de grote van de organisatie en de sector. Organisaties moeten dit zelf beoordelen, de overheid waarschuwt niet en geeft ook niet aan dat een organisatie onder de NIS2 valt. Voor elke organisatie die onder de wetgeving valt, geldt dat de aanvoerketens ook moeten voldoen aan de NIS2. Daarnaast moet de organisatie zelf de beveiliging van deze aanvoerketens controleren, bijvoorbeeld een leveranciersbeoordeling. Organisaties die nieuw zijn in de NIS2 wetgeving zijn bijvoorbeeld: voedingsindustrie, financiële diensten, digitale aanbieders en overheidsdiensten.
Zorg- en meldplicht
Organisaties die onder de wetgeving vallen hebben een zorgplicht en een meldplicht. Incidenten moeten worden gemeld en de organisatie moet zorgen dat zij een aantal maatregelen nemen. De eerste actie is een risicoanalyse, zorg dat alle risico’s worden beschreven en beoordeeld. Als een risico te hoog is, moet de organisatie maatregelen nemen om de kans of impact te verkleinen zodat een risico geaccepteerd kan worden. Naast de risicoanalyse moet de organisatie incident handling procedures, continuïteitsplannen en procedures over cryptografie en toegangsbeleid opstellen, hier zit ook de meldplicht in verwerkt. Medewerkers moeten ook worden meegenomen in deze aanscherping van informatiebeveiliging, training en bewustwording zijn verplicht. Ten slotte moet de organisatie zorgen voor veiligheid bij het verwerven, ontwikkelen en onderhouden van systemen en beleid en procedures om de effectiviteit van de maatregelen te beoordelen.
Heb je na het lezen van deze blog nog vragen of wil je meer informatie? Bel gerust of klik op onderstaande button om het contactformulier in te vullen.
NIS2 module
Dit alles is een hele kluif en lijkt zelfs op het uitgebreide ISO 27001/2 proces. Bij Puur ICT begrijpen wij dat NIS2 voor veel bedrijven een grote verandering is, maar het belang van een goede security niet alleen voor de maatschappij relevant. Hackers zijn steeds actiever én slimmer. Beschikbare, integere en betrouwbare informatie is voor veel bedrijven van levensbelang.
Puur ICT kan helpen om op een nuttige en makkelijke manier de informatiebeveiliging te verbeteren en te voldoen aan NIS2. Hiervoor hebben wij een module gemaakt met alle NIS2 verplichtingen, een soort ISO 27001 light variant. Hierin zitten onder andere lijsten in om risicoanalyses en risicomanagement makkelijker te maken, incidenten te registreren en formats voor de benodigde procedures.
Naast de wettelijke verplichte onderdelen moet de organisatie zelf ook maatregelen nemen aan de hand van de geïdentificeerde risico’s. Er zijn een aantal maatregelen die worden aangeraden, om risico’s die voor bijna elk bedrijf gelden te mitigeren en te voldoen aan de zorgplicht. Deze maatregelen zijn in onderstaande afbeelding weergeven, deze zijn niet verplicht, maar er moet wel verplicht worden voldaan aan de zorgplicht. Ook hier kan Puur ICT mee helpen, in Microsoft zijn vele mogelijkheden voor het realiseren back-ups, toegangsbeheer, MFA en cryptografie.
Even sparren?
Deze wetgeving geldt straks mogelijk ook voor jouw organisatie. Meer informatie? Wij helpen je graag.
