NIS2, Network and Information Security directive

In de razendsnelle digitale wereld van vandaag is cybersecurity niet langer een luxe, maar een absolute noodzaak. De Europese Unie erkent dit en heeft de Richtlijn “Network and Information Security 2” (NIS2) in het leven geroepen waarin organisaties verplicht worden om zich te wapenen tegen cyberdreigingen.

NIS2 zal per 18 oktober 2024 in werking treden. Een aantal onderdelen moeten nog door het Nederlands parlement in de wet Beveiliging Netwerk- en Informatiesystemen (Wbni) worden vastgelegd, maar de datum van ingang staat al vast. De organisaties die onder de NIS2-richtlijn vallen moeten vanaf dat moment aan de zorgplicht en meldplicht voldoen.

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een groot aantal nieuwe sectoren. Maar NIS2 richt zich ook op de ketenpartners waarmee deze sectoren informatie uitwisselen. Het komt erop neer dat de meeste organisaties aan NIS2 moeten voldoen. Indien je als organisatie in een sector actief bent die onder de richtlijn valt, dan kun je een fikse boete oplopen als je niet op tijd klaar bent. Ook kunnen directieleden, de CISO en andere personen met een autoriteit binnen de organisatie persoonlijk aansprakelijk worden gesteld.

Via de volgende link kunt u nagaan of uw organisatie ook daadwerkelijk onder de nieuwe wetgeving valt:

NIS 2 Zelfevaluatie NL (regelhulpenvoorbedrijven.nl)

Wat betekent NIS2 voor uw organisatie?

NIS2 is niet zomaar een wettelijke verplichting; het is uw sleutel tot veerkracht in een steeds veranderend technologisch landschap. Het vereist dat uw organisatie robuuste cybersecurity-maatregelen implementeert om gevoelige gegevens te beschermen en operationele continuïteit te waarborgen.

De NIS2 beschrijft een zorgplicht, een meldplicht en toezicht.

Zorgplicht

Er zijn 10 maatregelen gedefinieerd voor de NIS2 waaronder het uitvoeren van risicoanalyses, het opstellen en naleven van beleid bijvoorbeeld inzake gebruik cryptografie en encryptie, incidentbehandeling maar ook het meten van de effectiviteit van getroffen maatregelen.

Als organisatie zul je een solide risicomanagement methodiek moeten hanteren waarin maatregelen getroffen worden en getoetst worden. De directie moet ten alle tijde inzicht hebben op de informatiebeveiligingsmaatregelen én daar ook op kunnen sturen.

Meldplicht

De NIS2 schrijft voor dat een organisatie in het geval van een incident melding moet maken aan de toezichthouder binnen 24 uur. Daarna moet er binnen een maand een uitgebreid rapport over dit incident worden aangeleverd.

Als organisatie zul je bij het registreren van incidenten een systematiek moeten hanteren waarbij een juiste afhandeling wordt gehanteerd, duidelijk is dat je een melding moet maken bij de toezichthouder én waarbij je aantoonbaar maatregelen hebt verscherpt of nieuwe hebt opgeworpen om de kans te verkleinen dat het zich nogmaals voordoet.

Toezicht

De aangewezen nationale autoriteit (Rijksinspectie Digitale Infrastructuur) heeft de taak om de naleving van NIS2 door organisaties te beoordelen. Ze kunnen audits uitvoeren en organisaties evalueren om te controleren of ze voldoen aan de vereisten van de richtlijn.

Als organisatie dien je aan te kunnen tonen dat je voldoet aan de richtlijnen vanuit de NIS2 wetgeving. Dit omvat het evalueren van de beveiligingsmaatregelen en het controleren van het vermogen om te reageren op cyberincidenten.

Hoe nu verder

FullyInControl kan u helpen om NIS2-compliant te worden en dit aan te tonen. Met het FullyInControl platform bent u gewapend met de tools die u nodig heeft om aan alle onderdelen van NIS2 te voldoen en op basis van Plan Do Check Act continu de informatiebeveiliging van uw organisatie te optimaliseren. Bescherm niet alleen je bedrijf, maar versterk het ook. Bescherm jouw organisatie tegen steeds veranderende digitale dreigingen.

Met het integrale managementsysteem FullyInControl ben je volledig in controle op de wetgeving van de NIS2. Ook helpen normen in FullyInControl, zoals de ISO27001, BIO, SOC2, om NIS2 compliant te worden. Maatregelen managet en toetst u in FullyInControl maar één keer, waarbij ze verschillende eisen in wet en regelgeving en normen en frameworks afdekken.

Neem vandaag nog contact met ons op en ontdek hoe we samen uw digitale toekomst veilig kunnen stellen.

Ik wil graag meer informatie

Over de auteur

Frank Walraven

Frank Walraven is de oprichter en directielid van Fully In Control B.V.. Hij is meer dan 25 jaar werkzaam bij bedrijven die actief zijn in de software-ontwikkeling. Binnen deze organisaties heeft Frank veel kennis opgedaan met het bouwen van pragmatische en intuïtieve software-oplossingen. Frank heeft daarnaast uitgebreide interesse in en kennis van Performance Management en Risico Management. Frank is op dit gebied actief met het ontwikkelen van methodieken die organisaties beter kunnen sturen en helpen bij het behalen van hun doelstellingen.