NIS2: Alles wat je moet weten
Wat moet je doen als je onder de NIS2 valt?
Bedrijven die onder de NIS2 vallen krijgen te maken met:
Zorgplicht: De organisaties zijn verplicht om zelf een risicoanalyse uit te voeren en passende en evenredige maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen. De leden van het bestuur moeten deze maatregelen goedkeuren en toezicht houden op de uitvoering ervan.
Meldplicht: NIS2-organisaties zijn verplicht om significante incidenten te melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. De meldplicht is gefaseerd en geldt voor incidenten die de diensten van de organisatie aanzienlijk kunnen verstoren.
Toezicht: Op organisaties die onder de NIS2-wetgeving vallen, wordt toezicht gehouden om te controleren of zij hun verplichtingen naleven. Sancties kunnen worden opgelegd aan de entiteit of de individuele bestuurders als deze verplichtingen niet worden nageleefd.
Wat houdt de zorgplicht van de NIS2 in?
Om aan de zorgplicht te voldoen, moeten organisaties minimaal de volgende maatregelen nemen:
- Risicoanalyse en beveiliging van informatiesystemen: Een duidelijke analyse van de risico's en de implementatie van passende beveiligingsmaatregelen.
- Incidentenbehandeling: Een goed geordend beleid en procedure voor incidentenbehandeling, inclusief meldplicht bij het CSIRT en de toezichthouder.
- Bedrijfscontinuïteit: Maatregelen om te zorgen dat een organisatie continue blijft functioneren, zoals back-upbeheer en noodvoorzieningenplannen.
- Beveiliging van de supply chain: Beveiligingsmaatregelen om de kwetsbaarheid van de supply chain te beperken.
- Netwerk- en informatiesystemenbeheer: Beveiligde processen voor het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief respons op en bekendmaking van kwetsbaarheden.
- Beoordeling van beheersmaatregelen: Een regelmatige evaluatie van de effectiviteit van cyberbeveiligingsrisicobeheersmaatregelen.
- Cyberhygiëne en trainingen: Basis cyberhygiëne en regelmatige trainingen op het gebied van cyberbeveiliging voor medewerkers.
- Cryptografie en encryptie: Beleid en procedures om cryptografie en encryptie te gebruiken.
- Personeels- en toegangsbeveiliging: Maatregelen om de beveiliging van personeel, toegangspolitiek en activabeheer te waarborgen.
- Multifactorauthenticatie en communicatie: Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Wil je weten hoe je effectief en snel hier een start mee kunt maken? De CyberScan neemt je veel werk uit handen door veel resources en assessments voor je uit te voeren!
Wat houdt de meldplicht van de NIS2 in?
De meldplicht draagt bij aan de verhoging van de digitale veiligheid in de Europese Unie. Door informatie uit een melding te delen, kunnen andere organisaties zich beter wapenen tegen cyberdreigingen. Bovendien hebben organisaties recht op bijstand van het sectorale CSIRT na het maken van een verplichte melding.
Significante incidenten
De meldplicht geldt voor "significante" incidenten, die ernstige operationele verstoringen of financiële verliezen voor de organisatie kunnen veroorzaken. Ook gaat het om incidenten die (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De NIS2-richtlijn vereist dat organisaties significantie incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. De meldplicht wordt gefaseerd uitgevoerd, met een vroegtijdige waarschuwing die binnen 24 uur na waarneming van het incident moet plaatsvinden. Op dit moment worden de exacte drempelwaarden voor significante incidenten worden nog uitgewerkt door het NCSC.
Vrijwillige meldingen
Vanaf 17 oktober is het mogelijk een vrijwillige melding te maken via een webformulier op www.ncsc.nl. Het NCSC meldt dat er spoedig een centraal meldpunt zal komen, waar organisaties in één keer een melding kunnen maken bij het betreffende sectorale CSIRT en de bevoegde toezichthouder.
Meer informatie
Lees alles over de meldplicht op Meldplicht | Over het NCSC | Nationaal Cyber Security Centrum.
Hoe wordt het toezicht van de NIS2 gedaan?
Het toezicht op entiteiten die onder de Cyberbeveiligingswet vallen, gebeurt als volgt:
- Essentiële entiteiten worden proactief gemonitord om te controleren of ze de verplichtingen naleven.
- Bij belangrijke entiteiten vindt toezicht plaats als er aanwijzingen zijn voor niet-naleving van de wet, een incident heeft plaatsgevonden of als er sprake is van risico's die moeten worden bestreden.
Er wordt gebruik gemaakt van verschillende instrumenten om toezicht te houden, waaronder:
- Controlefunctionaris
- Beveiligingsscan en -audit
- Openbaarmaking van overtredingen
- Bindende aanwijzingen vanuit overheid voor bestuurders
- Verzoek tot schorsing certificering of vergunning
- Last onder bestuursdwang
- Bestuurlijke boetes
Deze instrumenten worden gebruikt om risico's te verminderen, incidenten te voorkomen en de veiligheid van het netwerk en de keten waarin een entiteit opereert, te beschermen.
Hulp nodig?
CyberScan
De cyberscan is een holistische beoordeling van je bedrijf op cyberdreigingen. Deze unieke en overzichtelijke scan is volledig afgestemd op jouw bedrijf en biedt een compleet overzicht van de cybersecuritystatus van je bedrijf. Dankzij AI kunnen beleidsdocumenten direct worden gegenereerd, waardoor extra consultancy overbodig wordt en duizenden euro's bespaart. je hebt snel een compleet overzicht, zodat je precies weet wat je te doen staat en onzekerheid verdwijnt.
Services
- Vraagstukken NIS2/Cybersecuritywet: advies over de nieuwe cybersecuritywet.
- Project management: ondersteuning bij cybersecurityprojecten.
- SIEM/SOC ontwikkeling
- SOAR implementatie
Kasper Security ©. Alle rechten voorbehouden.
We hebben je toestemming nodig om de vertalingen te laden
Om de inhoud van de website te vertalen gebruiken we een externe dienstverlener, die mogelijk gegevens over je activiteiten verzamelt. Lees het privacybeleid van de dienst en accepteer dit, om de vertalingen te bekijken.