Wat moet je regelen voor de NIS2?

In onze vorige blog vertelden wij waar u meer over de nieuwe Europese NIS2-richtlijnen, dit leest u hier. De NIS2 heeft twee grote verplichtingen waar je aan moet voldoen. We lichten ze hieronder verder uit:

Zorgplicht
Dit betekent dat je verplicht bent om passende securitymaatregelen te nemen. Deze maatregelen moeten de continuïteit en gebruikte informatie beschermen, dat is het doel van de maatregelen. Op basis van een risicobeoordeling moet je de maatregelen nemen. De NIS2 is hier nog niet heel concreet in, maar noemt al wel onderstaande onderwerpen:

  • Beleid rondom risicoanalyse en beveiliging
  • Incidentenafhandeling
  • Bedrijfscontinuïteit
  • Beveiliging van de toeleveringsketen
  • Beveiliging bij het ontwerpen, ontwikkelen en onderhouden van ICT-systemen
  • Effectiviteit van maatregelen rondom cyberbeveiliging
  • Aandacht voor bewustwording en cyberhygiëne
  • Beleid rondom cryptografie en encryptie
  • Beleid voor fysieke beveiliging
  • Multi-factor-authenticatie
  • Beveiligde communicatie

Een hele lijst, maar we helpen je graag deze onderwerpen te vertalen naar jouw organisatie.

Meldplicht

Wanneer jouw organisatie te maken krijgt met een verstoring in de essentiële dienst, moet dit binnen 24 uur gemeld worden bij de toezichthouder. Je kunt deze meldplicht vergelijken met de verplichting vanuit de AVG. De AVG schrijft voor dat ernstige datalekken gemeld moeten worden bij de Autoriteit Persoonsgegevens. De NIS2 schrijft verschillende eisen voor aan een melding:

  • De incidenten moeten binnen 24 uur gemeld worden bij de toezichthouder
  • In het geval van een cyberincident moet het CSIRT worden ingelicht
  • Binnen een maand moet er een eindverslag worden ingeleverd

Daarnaast zijn er nog twee kleinere verplichtingen die de NIS2 voorschrijft:

Registratieplicht
Iedere organisatie die onder de NIS2-richtlijn valt, is verplicht zich te registreren. Deze registratie zorgt voor een Europees beeld van het aantal organisatie wat onder de NIS2 valt.

Toezicht
Organisaties die onder de NIS2-richtlijn vallen komen onder toezicht te staan. Momenteel wordt verder uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Hoe zorg je ervoor dat je voldoet aan de NIS2?

Zoals we beschreven stelt de NIS2 verschillende eisen. Het is daarom niet vanzelfsprekend dat je direct aan de richtlijn voldoet. Ondanks dat de wetgeving nog niet officieel in gebruik is, adviseren we zo snel mogelijk aan de slag te gaan met de onderwerpen die aandacht vragen. Op dit moment is er nog tijd genoeg, wanneer je te laat bent kan dat ook juridische gevolgen hebben. Onderstaand hebben we de stappen op een rij gezet waarmee we jouw organisatie op weg helpen richting NIS2.

  1. Voer een risicoanalyse uit
  2. Pas de juiste maatregelen toe
  3. Ontwikkel beleid, procedures en bewustwording
  4. Evalueer regelmatig

Misschien is jouw organisatie al wel in bezit van verschillende certificaten, zoals ISO27001. Dat is handig, want sommige onderwerpen worden ook al meegenomen in zulke certificeringen. Het is niet zo dat je meteen conform de NIS2 bent, maar het kan wel helpen!

William Aarnoudse | Security Officer – Wordt enthousiast van ICT en security en geniet van een goed gezette bak koffie.