NIS2

De NIS2 is een Europese richtlijn voor het verbeteren van de digitale en economische weerbaarheid van Europese lidstaten

De EU ziet het belang van cyberbeveiliging in en wil de cyberveiligheid van de belangrijkste sectoren in de EU verbeteren. Daarom heeft de EU een nieuwe richtlijn gemaakt: de NIS2-richtlijn. Deze richtlijn zegt dat organisaties die noodzakelijke of belangrijke diensten leveren, zoals ziekenhuizen, banken of waterbedrijven, hun netwerk- en informatiesystemen goed moeten beveiligen. Ook moeten ze het melden als er een cyberincident gebeurt.

Wat is NIS2?

NIS2 heeft als doel de weerbaarheid tegen cyberaanvallen te vergroten en de gevolgen van dergelijke aanvallen te beperken. Bedrijven zullen hun cyberbeveiligingsprocessen tot een volwassen niveau moeten brengen en voldoen aan rapportage verplichtingen. Over het algemeen heeft het voorstel de volgende drie doelstellingen:

Het verhogen van de cyberweerbaarheid door regels in te voeren die ervoor zorgen dat alle publieke en private entiteiten, die belangrijke taken vervullen voor de economie en de samenleving als geheel, cybersecurity maatregelen moeten nemen. Dit bevat ook mkb’s die werkzaam zijn in een van de sectoren binnen de scope.

Inconsistenties verminderen van cyberweerbaarheid op de interne markt van Europa in de sectoren die nu al onder de NIS vallen door het volgende uit te breiden:

De scope;
De veiligheid en vereisten voor het melden van incidenten;
De bepalingen over het nationale toezicht en handhaving;
De capaciteiten van de autoriteiten van de lidstaten.

Het verbeteren van het niveau van gezamenlijke bewustzijn en het collectieve vermogen om voor te bereiden en te reageren door:

Maatregelen te nemen om het vertrouwen tussen de bevoegde autoriteiten te vergroten;
Door meer informatie te delen;
Het opstellen van regels en procedures bij een grootschalig incident of crisis.

Wat is de verantwoordelijkheid van mkb’s?

Op dit moment is NIS2 een Europese richtlijn. Dit moet nog worden omgezet naar lokale wetgeving. Nederland zal naar verwachting in het 2^e of 3^e kwartaal in 2025 deze richtlijn omzetten naar lokale wetgeving.

Voor organisaties die buiten de scope vallen zal er nog niet snel gevolgen zijn. Wanneer je wel in een sector werkt die binnen de scope valt, kan het helpen als je organisatie een informatiebeveiligingsverklaring heeft. Denk aan SOC 2 of ISAE 3402. Dit zijn verklaringen die aantonen in welke mate je organisatie aan internationaal erkende informatiebeveiligingsnormen voldoet.

Daarnaast moet je organisatie maatregelen implementeren om te voldoen aan de minimale eisen van cyberbeveiliging. De maatregelen moeten minstens het volgende bevatten:

Beleid voor risicoanalyse en beveiliging van informatiesystemen;
Incidentenbehandeling;
Bedrijfscontinuïteit (back-upbeheer, noodvoorzieningenplannen, crisisbeheer);
Beveiliging toeleveringsketen;
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen;
Beleid en maatregelen om de effectiviteit van cyberbeveiliging maatregelen te beoordelen;
Basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining;
Beleid en maatregelen omtrent het gebruik van cryptografie en encryptie;
Beveiligingsaspecten t.a.v. personeel, toegangsbeleid, en beheer van activa;
Wanneer gepast, het gebruik van mutli-factor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Het is ook aangegeven dat bestuursleden die verantwoordelijk zijn voor het onderdeel informatiebeveiliging binnen je organisatie, een opleiding moeten volgen over informatiebeveiliging.

Wie vallen onder de scope van NIS2?

In de NIS2-richtlijn wordt aangegeven welke organisaties verplicht zijn om aan NIS2 te voldoen. Organisaties die onder middelkleine mkb-organisaties vallen, hoeven niet te voldoen. Dit zijn organisaties met minder dan 50 werknemers en een omzet en balanstotaal onder 10 miljoen Euro. NIS2 maakt onderscheid in de mate van toezicht, zijnde: proactief versus reactief toezicht. Proactief toezicht zal worden toegepast voor organisaties die vallen onder Annex 1 en behoren tot de grote organisaties (meer dan 250 werknemers óf omzet 50 miljoen + balanstotaal 43 miljoen).

Wat kan Hoek en Blok betekenen?

Om proactief aan de slag te gaan en voorbereid te zijn op deze nieuwe wetgeving kunnen onze IT consultants je helpen door je huidige niveau van cyberbeveiliging te beoordelen, hiaten en risico’s te identificeren en passende maatregelen te nemen om aan de nieuwe regels te voldoen.

Waarom Hoek en Blok.IT?

PROFESSIONELE ORGANISATIE MET 180 COLLEGA’S
Hoek en Blok, een sterk merk met een internationaal netwerk. 180 collega’s in diverse diensten en dezelfde waarden als bij de oprichting meer dan dertig jaar geleden: oprechte aandacht en partnerschap.

PRAGMATISCHE EN EFFICIËNTE AANPAK
Met onze projectaanpak waarborgen we efficiëntie zonder jouw organisatorische wendbaarheid te verliezen. Onze kritische auditors streven voortdurend naar procesoptimalisatie en brengen je verder.

FOCUS OP IT & CLOUD
Wij bieden IT-assurance diensten aan met focus op cloud- en data serviceproviders, met diepgaand begrip van IT-landschappen en risicobeheersing in deze complexe omgevingen.

NIS2

Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3402 Assurance rapportages af om de beheersing aan je klanten aan te tonen.

Aantoonbare kwaliteit van bedrijfsprocessen
Onderscheiden van concurrentie
Bedrijfsprocessen in control

NIS2

Wat is NIS2?

Wat is de verantwoordelijkheid van mkb’s?

Wie vallen onder de scope van NIS2?

Wat kan Hoek en Blok betekenen?

Waarom Hoek en Blok.IT?

PROFESSIONELE ORGANISATIE MET 180 COLLEGA’S

PRAGMATISCHE EN EFFICIËNTE AANPAK

FOCUS OP IT & CLOUD

NIS2

Aantoonbare kwaliteit van bedrijfsprocessen

Onderscheiden van concurrentie

Bedrijfsprocessen in control

Diensten

Contactgegevens