De NIS2, de meeste organisaties kunnen er straks niet meer om heen. Met de komst van deze richtlijn worden hogere cyber security-eisen geïntroduceerd en bovendien gelden deze voor een breed scala aan bedrijven. Maar wat houdt de NIS2 precies in? En hoe kan je jouw organisatie hiervoor klaarstomen? Ad Schaafsma, Security Consultant bij Axians, geeft een update over de NIS2 en geeft tips voor een goede naleving ervan.

De Europese Unie introduceert de NIS2 met als doel de cyberweerbaarheid van essentiële en belangrijke organisaties te verhogen. Onder de NIS2 worden onder andere alle overheden, zorg, datacenters, stroom, gas, water, vervoer, banken, communicatie en B2B-beheerdiensten gezien als ‘essentieel’. De belangrijke organisaties zijn bijvoorbeeld post- en koeriersdiensten, afvalstoffenbeheer en vervaardigingsbedrijven.

Wie krijgen nog meer met de NIS2  te maken?

Ben je een klein bedrijf (minder dan 250 medewerkers) en verleen je geen essentiële of belangrijke dienst? Dan hoef je in principe niet te voldoen aan de NIS2. Maar ook hierop zijn uitzonderingen. Zo worden bijvoorbeeld verbonden organisaties bij elkaar opgeteld. Bovendien komt er meer aandacht voor ketenbeheer. Wanneer je samenwerkt met een essentieel bedrijf word je door NIS2 gedwongen om aan je leveranciers in de keten eisen te stellen.

Actief compliance aantonen

Als organisatie moet je bovendien kunnen aantonen dat je voldoet aan de NIS2. Hierbij spelen verhoogde vereisten voor risicobeheer en rapportage een grote rol, evenals testen en audits. Zo moeten bijvoorbeeld de leveranciers waarmee je werkt een certificering hebben, en is het van belang dat je de gehele toeleveringsketen in zicht hebt en actief bezig bent met leveranciersmanagement. Grote incidenten moeten daarnaast binnen 24 uur gemeld worden en de sancties kunnen oplopen tot 10 miljoen of 2% van de omzet. Verder kunnen personen op directieniveau – indien ze hun verplichtingen op grond van de richtlijn niet nakomen – persoonlijk aansprakelijk worden gesteld. Een goede naleving is dus essentieel.

4 tips voor een goede naleving van de NIS2

  • Bepaal hoe volwassen je security-niveau nu is, bijvoorbeeld aan de hand van een Security Maturity audit en leg in een roadmap vast hoe je de gap wil overbruggen tussen het huidige en gewenste security-niveau.
  • Laat je informeren over best practices met betrekking tot het inrichten van je IT-infrastructuur.
  • Weet wie je leveranciers zijn. Weet wat ze leveren en onder welke condities. Inventariseer welke afspraken je met ze hebt gemaakt over cyber security van hun producten en/of diensten. Voldoen ze aan de eisen van NIS2?
  • Definieer je beleid en zorg voor een juridisch kader om intern toezicht te houden op gebruikers en beheerders. Zorg dat ze verantwoord te werk gaan en kies een normenkader dat bij je past.

Wat betekent de NIS2 voor jou?

Wil je weten wat de NIS2 voor jouw organisatie gaat betekenen? Neem vrijblijvend contact op voor meer informatie.